privacy by design
10. September 2021

Privacy by Design: Datenschutz von Anfang an bedenken

Was ist Privacy by Design?

Seit der Einführung der Datenschutz-Grundverordnung (DSGVO) 2018 hat der Datenschutz in der Softwareentwicklung einen höheren Stellenwert erlangt. Privacy by Design steht in diesem Zusammenhang für die datenschutzfreundliche Gestaltung der Technik. Bereits bei der Konzipierung und Entwicklung von Software und Hardware dürfen nur Daten erhoben werden, die für den jeweiligen Zweck der Verarbeitung erforderlich sind.

Was bedeutet der Grundsatz des Privacy by Design?

Artikel 25 der DSGVO fordert einen „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“. Daraus resultieren sowohl die Maßnahmen des Privacy by Design als auch des Privacy by Default.

Das eingeführte Prinzip des Privacy by Design gilt neben der Entwicklungs- und Umsetzungsphase für den gesamten Lebenszyklus personenbezogener Daten

Jede neue technische Entwicklung, erfordert zur Sicherheit auch eine Weiterentwicklung und Anpassung des Datenschutzes. Privacy Enhancing Technology (PET) ist der englischsprachige Begriff für die sog. datenschutzfreundlichen Technologien. Sie dienen dem Schutz personenbezogener Daten vor dem unbefugten Zugriff Dritter. 

Personenbezogene Daten dürfen laut DSGVO nur nach Kenntnisnahme der betroffenen Person und ihrer Zustimmung erhoben werden. Die Zulässigkeit der entsprechenden Systemeinstellungen wird außerdem nach der Menge, dem Umfang, der Speicherfrist, Zugänglichkeit und dem erforderlichen Zweck der erhobenen personenbezogenen Daten beurteilt.

Was bedeutet der Grundsatz des Privacy by Default?

Was bedeutet der Grundsatz des Privacy by Default?

Privacy by Default bezieht sich auf das bereits fertige Produkt und bedeutet „ab Werk“. Es dient in erster Linie dem Schutz der Privatsphäre der betroffenen Nutzer:innen. Privacy by Default garantiert damit die Erfüllung des sog. Privacy Paradox. Da auch die weniger technikversierten Nutzer:innen beispielsweise durch ein aktives Opt-In ihre Daten schützen können.

Was ist der Unterschied zwischen Data Protection by Design and by Default?

Während Privacy by Design sicherstellen soll, dass der Datenschutz im Sinne der DSGVO bereits technisch integriert ist, bezieht sich Privacy by Default auf die datenschutzfreundlichen Voreinstellungen bei der Auslieferung an den / die Nutzer:in.

Privacy by Design in Unternehmen

Art. 25 DSGVO bezieht sich auf die Verantwortlichen, nicht auf die Hersteller von Verarbeitungstechnik. Bislang besteht keine direkte Pflicht für die Hersteller datenschutzfreundliche Produkte zu konzipieren. Jedoch steigt die indirekte Verpflichtung, da Unternehmen, die mit Software und Hardware arbeiten, die nicht den Ansprüchen der DSGVO gerecht wird, mit hohen Strafzahlungen rechnen müssen.

Checkliste: Ist unsere SoftwareDSGVO-konform?

Checkliste: Ist unsere SoftwareDSGVO-konform?

  • Werden nur die wirklich notwendigen personenbezogenen Daten erhoben?
  • Werden keine Cloud-Services mit Datenzentren außerhalb der Europäischen Union (EU) eingebunden?
  • Werden personenbezogene Daten frühstmöglich anonymisiert bzw. pseudonymisiert?
  • Werden zusätzliche und moderne Verschlüsselungsmethoden eingesetzt?
  • Können Nutzer:innen die Speicherung und Verarbeitung ihrer personenbezogenen Daten transparent nachvollziehen?
  • Können Sie als Unternehmen der Pflicht der Löschung, Übertragung und Auskunft der Daten nachkommen?

Auch intern im Unternehmen gilt, dass von  Mitarbeiter:innen nur die Informationen erfasst werden, die unverzichtbar für die Durchführung des Beschäftigungsverhältnisses sind. Bei der Entwicklung und Integration neuer Software im Unternehmen, sollten stets die Möglichkeiten der Anonymisierung und Pseudonymisierung in Betracht gezogen werden. 

Checkliste zur Umsetzung von Privacy by Design und Privacy by Default in Unternehmen

Checkliste zur Umsetzung von Privacy by Design und Privacy by Default in Unternehmen

  • Führen Sie vor der Entwicklung eine Risikobewertung durch: Erkennen Sie mögliche Datenschutz-Risiken frühzeitig
  • Achten sie bei der Auswahl der Software auf Hersteller- und Verarbeitungsgarantien im Bereich des Privacy by Design und Privacy by Default (z.B. anerkannte Zertifizierungen)
  • Stellen Sie sicher, dass personenbezogene Daten in all Ihren IT-Systemen automatisch geschützt werden.
  • Halten Sie Rücksprache mit den Datenschutzbehörden
  • Schulen Sie Ihre Mitarbeiter:innen in Bezug auf die Regelungen der DSGVO
  • Arbeiten Sie mit professionellen Datenschutzbeauftragten zusammen, die eng in die Beschaffung, Entwicklung und Phase der Verarbeitung miteinbezogen werden.
  • Überprüfen Sie regelmäßig, dass die erhobenen Daten dem Zweck der Verarbeitung dienen. 
  • Ziehen Sie datenschutzverbessernde Technologien in Erwägung. Die alleinige Nutzung von PETs reicht nicht immer aus, um den Anforderungen der DSGVO gerecht zu werden.
  • Achten Sie darauf, dass nicht nur Neuentwicklungen datenschutzkonform aufgestellt sein müssen, sondern auch bereits etablierte Lösungen. Wenn dies rückwirkend nicht möglich ist, stellt es einen Verstoß gegen die DSGVO dar.

Hinweis: Technische Maßnahmen müssen im Verhältnis zu Ihrer Unternehmensgröße und dem datenschutzrechtlichen Risiko stehen. Bei einer geringen Gefährdung oder zu hohen Implementierungskosten kann in Einzelfällen auch ein geringerer Schutz ausreichen. Hierfür ist jedoch eine Verhältnismäßigkeitsabwägung vorzunehmen und im Sinne der Risiko- und Folgenabschätzung zu dokumentieren, damit sie der Rechenschaftspflicht nach Art. 5 Abs. 2, Art. 24 Abs. 1 DSGVO entspricht.

Die richtige Umsetzung gelingt leichter, wenn Sie und Ihre Mitarbeiter:innen an einem Strang ziehen. Mit den lawpilots Online-Schulungen zum Thema Datenschutz lernen alle Teilnehmenden in kurzer Zeit den sicheren Umgang mit personenbezogenen Daten. Auf diese Weise verfügt nicht nur die Führungsetage, sondern alle Bereiche Ihres Unternehmens über eine gewisse Awareness in Sachen Datenschutz. Neben der eigenen Sicherheit steigern hohe Datenschutzgrundsätze auch die Wettbewerbsfähigkeit des Unternehmens und sollen nach ErwGr. 78 DSGVO bei öffentlichen Ausschreibungen bevorzugt werden.

Quellen:

Hinweis:

Boßow-Thies, S., Hofmann-Stölting, C., Jochims, H. (2020). Data-driven Marketing. Insights aus Wissenschaft und Praxis. Wiesbaden: Springer FachmedienKaaniche,N.,  Laurent,M., Belguith,S. (2020). Privacy enhancing technologies for solving the privacy-personalization paradox: Taxonomy and survey, Journal of Network and Computer Applications, Volume 171.Schomberg, S. et.al (2019). Ansatz zur Umsetzung von Datenschutz nach der DSGVO im Arbeitsumfeld: Datenschutz durch Nudging. Datenschutz und Datensicherheit. Ausgabe 12Schonschek, O. (2020). Empfehlungen für Privacy by Design nach DSGVO https://www.computerweekly.com/de/ratgeber/Empfehlungen-fuer-Privacy-by-Design-nach-DSGVOTuev Nord (2018). Was ist Privacy by Design? https://www.tuev-nord.de/explore/de/erklaert/was-ist-privacy-by-design/
10. September 2021
Wann sind personenbezogene Daten hinreichend anonymisiert und pseudonymisiert?
31. August 2021
Herausforderung Datenschutz & Digitalisierung
lawpilots GmbH Recht. Einfach. Verstehen. lawpilots bietet innovative & praxisnahe E-Learnings Anonym hat 4,66 von 5 Sternen 1381 Bewertungen auf ProvenExpert.com