Es ist nur einer von vielen Artikeln in der Datenschutz-Grundverordnung (DSGVO), er hat aber weitreichende Folgen: Im Art. 25, DSGVO wird geregelt, dass datenschutzfreundliche Einstellungen bereits im Entstehungsprozess von neuen Technologien eine Rolle spielen sollten. Dieses Konzept von „Privacy by Design“ fordert Produzent*innen und Informatiker*innen heraus, Datenschutz als essentiellen Bestandteil von Software mitzudenken, wohingegen die Funktion von Privacy by Default Anbieter*innen von Software in die Pflicht nimmt.

Unterschiede zwischen Privacy by Design und Privacy by Default

Um die Tragweite der Konzepte von Privacy by Default und Privacy by Design zu verstehen, hilft es, sich den Weg einer Software von Beginn der Entwicklung hin zum Einsatz bei den Käufer*innen zu denken. Privacy by Design kommt dabei vor Privacy by Default, sind beide Konzepte umfassend berücksichtigt, ist das optimal.

Was ist Privacy by Design?

Der etwas schillernde Begriff Privacy by Design kann einfach mit „Datenschutz durch Technikgestaltung“ übersetzt werden. Bereits vor der Einführung der DSGVO war das ein Thema, welches mit dem Art. 25 eine stärkere Bedeutung und Sichtbarkeit  bekommen hat. Es ist die Idee, dass Datenschutz bereits in der technischen Entwicklung von Software mitgedacht werden sollte, so dass es möglichst leicht ist, eine datenschutzkonforme Nutzung und weiteren Konfigurationen für mehr Datensicherheit zu ermöglichen.

Um die personenbezogenen Daten von Nutzer*innen im Sinne der DSGVO zu schützen, sollen deshalb bereits in einem sehr frühen Entwicklungsstadium alle erforderlichen technischen und organisatorischen Maßnahmen (TOMs) getroffen werden, die dafür nötig sind.

Was ist Privacy by Default?

Privacy by Default kann hingegen sinngemäß mit „Datenschutz durch datenschutzfreundliche Voreinstellungen“ übersetzt werden. Die Werkeinstellungen von beispielsweise Browsern, Smartphones und anderer Software sollten für Nutzer*innen die datenschutzfreundlichsten Einstellungen sein. So werden auch weniger technikaffine Personen geschützt, die nicht in der Lage sind, selbst die richtigen Konfigurationen zu treffen.

„Privacy Paradox“: So wird das Paradox genannt, laut dem Nutzerinnen und Nutzer sich den Schutz ihrer Privatsphäre und damit ihrer Daten wünschen, aber nicht die dafür notwendigen Einstellungen vornehmen, sei es wegen fehlenden Kenntnissen oder fehlender Motivation.

 

Datenschutz Beratung Online
Datenschutz Beratung Online

Beratung per Telefon / Skype / Signal / Zoom / go2meeting / Facetime / oder sonstige Videochat Produkte, je nach Datenschutzniveau des Themas können Sie ihre gewünschte Plattform wählen. Kaufen Sie im Shop den gewünschten Beratungsumfang zur Datenschutzgrundverordnung und Zeitpunkt.
ShapeMinds ShapeMinds

 

Privacy by Design in der DSGVO

Im Art. 25, DSGVO wird nur sehr vage und beispielhaft angedeutet, was geeignete Privacy by Design-Maßnahmen sein könnten, zu den genannten Optionen gehört die Pseudonymisierung der Daten.

Pseudonymisierung

Genau heißt es, dass „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen“ die Verantwortlichen alle technischen und organisatorischen „Maßnahmen – wie z. B. Pseudonymisierung -“  treffen müssen, um DSGVO-Grundsätze, wie etwa Datenminmierung umzusetzen.

Weitere TOMs

Die Verschlüsselung von Daten wird in Art. 32, DSGVO als Option genannt.  Im Erwägungsgrund 78, DSGVO wird wiederum davon gesprochen, dass solche Maßnahmen darin bestehen könnten, „dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, der betroffenen Person ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen, und der Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern“.

Welche Privacy by Design-Maßnahmen Unternehmen genau treffen, sollte immer unter Berücksichtigung des Stands der Technik und der Implementierungskosten, sowie der Art, dem Umfang, den Umständen und dem Zweck der Verarbeitung entschieden werden. So muss ein Fintech-Unternehmen sicher Maßnahmen mit weit größeren Ausmaßen treffen als ein örtlicher Kfz-Betrieb – wobei der Grundgedanke –der Schutz der personenbezogenen Daten – immer derselbe sein sollte.

Sieben Prinzipien von „Privacy by Design“

  1. Proaktiv, nicht reaktiv: Privacy by Design beugt Sicherheitspannen und der groben Verletzung von Datenschutz vor. Privacy by Design ist nicht dafür da, bei auftretenden Problemen Lösungen anzubieten.
  2. Datenschutz als Standardeinstellung („Privacy by Default“): Auch die Privatsphäre von Nutzer*innen, die nicht proaktiv auf ihren Datenschutz achten, sollte durch Privacy by Default-Maßnahmen möglichst sicher sein.
  3. Der Datenschutz ist in das Design eingebettet: Der Datenschutz ist nicht das i-Tüpfelchen einer Software – sie wird im System mitgedacht.
  4. Volle Funktionalität: Durch Privacy by Design müssen Nutzer*innen keine Kompromisse eingehen, es entsteht eine Win-Win-Situation.
  5. Durchgängige Sicherheit: Der Schutz der Daten ist während des kompletten Lebenszyklus‘ eines Produktes gewährleistet.
  6. Sichtbarkeit und Transparenz: Privacy by Design bietet transparente Strukturen für Nutzer*innen und Anbieter*innen gleichermaßen.
  7. Die Wahrung der Privatsphäre der Nutzer*innen: Bei der Entwicklung von Software stehen die Bedürfnisse und Anliegen der Nutzer*innen im Fokus, es ist eine nutzerzentrierte Gestaltung.

 

Wen betrifft die Privacy by Design?

Von der Privacy by Design-Regelung sind natürlich zunächst die Hersteller von Software betroffen, denn sie sollen Datenschutz bereits in der Entwicklung mitdenken. Jedoch ist eigentlich auch jedes Unternehmen daran interessiert, dass Software den Datenschutz möglich macht, denn die DSGVO muss schließlich von allen Beteiligten eingehalten werden. Indem Unternehmen also Software nutzen und ihren Mitarbeiterinnen und Mitarbeitern zur Verfügung stellen, die alle möglichen Maßnahmen zum Datenschutz ergriffen haben, legen sie die Basis für das eigene datenschutzkonforme Arbeiten.

Dasselbe trifft in diesem Sinn auf die Privacy by Default-Maßnahmen zu: Indem Mitarbeiterinnen und Mitarbeiter mit Software arbeiten, die bereits ab Werk datenschutzkonform eingestellt sind, minimiert sich das Risiko von Datenschutzverstößen.

 

Im nächsten Schritt sind wir für Sie da: Gern beraten wir Sie zum datenschutzkonformen Umgang mit Software. Kontaktieren Sie uns!
Hat Ihnen dieser Beitrag gefallen? Dann teilen Sie ihn!

Tags: