7 min Zuletzt auktualisiert: 11.10.2023

Privacy by Design: Datenschutz von Anfang an bedenken

Was ist Privacy by Design?

Seit der Einführung der Datenschutz-Grundverordnung (DSGVO) 2018 hat der Datenschutz in der Softwareentwicklung einen höheren Stellenwert erlangt. Privacy by Design steht in diesem Zusammenhang für die datenschutzfreundliche Gestaltung der Technik. Bereits bei der Konzipierung und Entwicklung von Software und Hardware dürfen nur Daten erhoben werden, die für den jeweiligen Zweck der Verarbeitung erforderlich sind.

Was bedeutet der Grundsatz Privacy by Design?

Artikel 25 der DSGVO fordert einen „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“. Daraus resultieren sowohl die Maßnahmen des Privacy by Design als auch des Privacy by Default.

Das eingeführte Prinzip des Privacy by Design gilt neben der Entwicklungs- und Umsetzungsphase für den gesamten Lebenszyklus personenbezogener Daten.

Jede neue technische Entwicklung, erfordert zur Sicherheit auch eine Weiterentwicklung und Anpassung des Datenschutzes. Privacy Enhancing Technology (PET) ist der englischsprachige Begriff für die sog. datenschutzfreundlichen Technologien. Sie dienen dem Schutz personenbezogener Daten vor dem unbefugten Zugriff Dritter.

Personenbezogene Daten dürfen laut DSGVO nur nach Kenntnisnahme der betroffenen Person und ihrer Zustimmung erhoben werden. Die Zulässigkeit der entsprechenden Systemeinstellungen wird außerdem nach der Menge, dem Umfang, der Speicherfrist, Zugänglichkeit und dem erforderlichen Zweck der erhobenen personenbezogenen Daten beurteilt.

Was bedeutet der Grundsatz Privacy by Default?

Privacy by Default bezieht sich auf das bereits fertige Produkt und bedeutet „ab Werk“. Es dient in erster Linie dem Schutz der Privatsphäre der betroffenen NutzerInnen. Privacy by Default garantiert damit die Erfüllung des sog. Privacy Paradox. Da auch die weniger technikversierten NutzerInnen beispielsweise durch ein aktives Opt-In ihre Daten schützen können.

Was ist der Unterschied zwischen Data Protection by Design and by Default?

Während Privacy by Design sicherstellen soll, dass der Datenschutz im Sinne der DSGVO bereits technisch integriert ist, bezieht sich Privacy by Default auf die datenschutzfreundlichen Voreinstellungen bei der Auslieferung an den oder die NutzerIn.

Privacy by Design in Unternehmen

Art. 25 DSGVO bezieht sich auf die Verantwortlichen, nicht auf die Hersteller von Verarbeitungstechnik. Bislang besteht keine direkte Pflicht für die Hersteller datenschutzfreundliche Produkte zu konzipieren. Jedoch steigt die indirekte Verpflichtung, da Unternehmen, die mit Software und Hardware arbeiten, die nicht den Ansprüchen der DSGVO gerecht wird, mit hohen Strafzahlungen rechnen müssen.

Checkliste: Ist unsere Software DSGVO-konform?

  • Werden nur die wirklich notwendigen personenbezogenen Daten erhoben?
  • Werden keine Cloud-Services mit Datenzentren außerhalb der Europäischen Union (EU) eingebunden?
  • Werden personenbezogene Daten frühstmöglich anonymisiert bzw. pseudonymisiert?
  • Werden zusätzliche und moderne Verschlüsselungsmethoden eingesetzt?
  • Können NutzerInnen die Speicherung und Verarbeitung ihrer personenbezogenen Daten transparent nachvollziehen?
  • Können Sie als Unternehmen der Pflicht der Löschung, Übertragung und Auskunft der Daten nachkommen?

Auch intern im Unternehmen gilt, dass von MitarbeiterInnen nur die Informationen erfasst werden, die unverzichtbar für die Durchführung des Beschäftigungsverhältnisses sind. Bei der Entwicklung und Integration neuer Software im Unternehmen, sollten stets die Möglichkeiten der Anonymisierung und Pseudonymisierung in Betracht gezogen werden.

Checkliste zur Umsetzung von Privacy by Design und Privacy by Default in Unternehmen

  • Führen Sie vor der Entwicklung eine Risikobewertung durch: Erkennen Sie mögliche Datenschutz-Risiken frühzeitig
  • Achten sie bei der Auswahl der Software auf Hersteller- und Verarbeitungsgarantien im Bereich des Privacy by Design und Privacy by Default (z.B. anerkannte Zertifizierungen)
  • Stellen Sie sicher, dass personenbezogene Daten in all Ihren IT-Systemen automatisch geschützt werden.
  • Halten Sie Rücksprache mit den Datenschutzbehörden
  • Schulen Sie Ihre MitarbeiterInnen in Bezug auf die Regelungen der DSGVO
  • Arbeiten Sie mit professionellen Datenschutzbeauftragten zusammen, die eng in die Beschaffung, Entwicklung und Phase der Verarbeitung miteinbezogen werden.
  • Überprüfen Sie regelmäßig, dass die erhobenen Daten dem Zweck der Verarbeitung dienen.
  • Ziehen Sie datenschutzverbessernde Technologien in Erwägung. Die alleinige Nutzung von PETs reicht nicht immer aus, um den Anforderungen der DSGVO gerecht zu werden.
  • Achten Sie darauf, dass nicht nur Neuentwicklungen datenschutzkonform aufgestellt sein müssen, sondern auch bereits etablierte Lösungen. Wenn dies rückwirkend nicht möglich ist, stellt es einen Verstoß gegen die DSGVO dar.

Hinweis: Technische Maßnahmen müssen im Verhältnis zu Ihrer Unternehmensgröße und dem datenschutzrechtlichen Risiko stehen. Bei einer geringen Gefährdung oder zu hohen Implementierungskosten kann in Einzelfällen auch ein geringerer Schutz ausreichen. Hierfür ist jedoch eine Verhältnismäßigkeitsabwägung vorzunehmen und im Sinne der Risiko- und Folgenabschätzung zu dokumentieren, damit sie der Rechenschaftspflicht nach Art. 5 Abs. 2, Art. 24 Abs. 1 DSGVO entspricht.

Die richtige Umsetzung gelingt leichter, wenn Sie und Ihre MitarbeiterInnen an einem Strang ziehen. Mit den lawpilots Online-Schulungen zum Thema Datenschutz lernen alle Teilnehmenden in kurzer Zeit den sicheren Umgang mit personenbezogenen Daten. Auf diese Weise verfügt nicht nur die Führungsetage, sondern alle Bereiche Ihres Unternehmens über eine gewisse Awareness in Sachen Datenschutz. Neben der eigenen Sicherheit steigern hohe Datenschutzgrundsätze auch die Wettbewerbsfähigkeit des Unternehmens und sollen nach ErwGr. 78 DSGVO bei öffentlichen Ausschreibungen bevorzugt werden.

Unsere Auszeichnungen

DBA Siegel

Unsere Partner


lawpilots GmbH
Am Hamburger Bahnhof 3
10557 Berlin
Deutschland

+49 (0)30 22 18 22 80 kontakt@lawpilots.com
lawpilots GmbH hat 4.6362191958496 von 5 Sternen 2570 Bewertungen auf ProvenExpert.com