Was bedeutet Privacy by Design / Privacy by Default wirklich?

Fachbeitrag

Privacy by Design and Default oder Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen sind keine neuen Begriffe. Im Rahmen der DSGVO erlangen sie jedoch neue Bedeutung und sind in Art. 25 der Datenschutz-Grundverordnung (DSGVO) verankert. Obwohl diese Begriffe oft zusammen verwendet werden, steht jeder Begriff für sich und ist entsprechend auch jeweils zu beachten. Was genau dahinter steckt verrät Ihnen dieser Beitrag.

Was steht hinter den Begriffen?

Privacy by Design

Übersetzt heißt Privacy by Design „Datenschutz durch Technikgestaltung“ und greift den Grundgedanken auf, dass sich der Datenschutz am besten einhalten lässt, wenn er bereits bei Erarbeitung eines Datenverarbeitungsvorgangs technisch integriert ist. In anderen Worten: der Schutz personenbezogener Daten im Sinne der DSGVO erfolgt durch das frühzeitige Ergreifen technischer und organisatorischer Maßnahmen (TOMs) im Entwicklungsstadium.

Privacy by Default

Privacy by Default heißt übersetzt „Datenschutz durch datenschutzfreundliche Voreinstellungen“ und bedeutet, dass die Werkeinstellungen datenschutzfreundlich auszugestalten sind. Nach dem Grundgedanken sollen insbesondere die Nutzer geschützt werden, die weniger technikaffin sind und z.B. dadurch nicht geneigt sind, die datenschutzrechtlichen Einstellungen ihren Wünschen entsprechend anzupassen. Dieser Gedanke steht hinter dem Begriff „Privacy Paradox“, wonach Nutzer grundsätzlich den Schutz ihrer Privatsphäre befürworten, aber nicht aktiv entsprechende Einstellungen vornehmen.

Welche TOMs soll ich ergreifen?

So genau lässt sich das gar nicht sagen. Als Beispiel einer technischen und organisatorischen Maßnahme nennt Art. 25 Abs. 1 DSGVO die Pseudonymisierung. Diese ist in Art. 4 Nr. 5 DSGVO definiert.

Andere geeignete TOMs nennt Erwägungsgrund 78 nur ganz abstrakt:

„… Solche Maßnahmen könnten unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, der betroffenen Person ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen, und der Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern …“.

Konkreter wird der Gesetzgeber nicht. Für die Praxis ist allerdings ein Rückgriff auf Art. 32 DSGVO zur Orientierung hilfreich, der neben der Pseudonymisierung auch das Beispiel der Verschlüsselung nennt.

Bei der Wahl der Maßnahmen ist zugleich zu beachten, dass die konkreten Maßnahmen auch immer unter Berücksichtigung des Stands der Technik und der Implementierungskosten auszuwählen sind. Auch Art, Umfang, Umstände und Zweck der Verarbeitung sind bei der Auswahl heranzuziehen und bei Art. 25 Abs. 1 DSGVO auch dem Risiko der Verarbeitung gegenüberzustellen. Durch die Verwendung von „Maßnahmen“ im Plural stellt der Gesetzgeber klar, dass mehrere Maßnahmen parallel zu ergreifen sind und eine einzelne Schutzmaßnahme nicht ausreicht.

Mögliche Maßnahmen

Neben der Pseudonymisierung ist auch die Anonymisierung eine mögliche Maßnahme, um den Geboten des Datenschutzes durch Technikgestaltung zu genügen. Ferner ist die Nutzerauthentifizierung sinnvoll, sowie die technische Umsetzung des Widerspruchsrechts (Art. 21 DSGVO). Ferner ist ein Rückgriff auf andere Standards, wie bspw. die IT-Grundschutzkataloge des Bundesamts für Sicherheit in der Informationstechnologie (BSI) sinnvoll.

Was Sie im spezifischen Fall von Apps beachten sollten, lesen Sie hier.

Praktische Relevanz

Bei den Anforderungen aus Art. 25 DSGVO handelt es sich um extrem praxisrelevante Regelung, die jedoch aufgrund des Einzelfalles keine standardisierte Antwort erlauben. Da insbesondere die Technikgestaltung in einem frühen Entwicklungsstadium zu berücksichtigen ist und entsprechende Auswirkung auf das gesamte datenverarbeitende System hat, sind die Verantwortlichen angehalten, sich mit diesen Anforderungen frühzeitig zu befassen. Art. 25 Abs. 3 DSGVO gibt den Verantwortlichen die Möglichkeit, die Einhaltung der Anforderungen aus Art. 25 DSGVO durch Zertifizierungen im Sinne des Art. 42 DSGVO nachzuweisen.

Sie haben Fragen?

Wir unterstützen Unternehmen bei der Vorbereitung auf die Datenschutz-Grundverordnung (DSGVO). Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Rundum-Service zur DSGVO: Check, Vorbereitung und laufende Beratung
  • Aufbau und Pflege eines Dokumenten-Management-System
  • Mitarbeiterschulung zu den relevanten Neuerungen der Datenschutz-Grundverordnung

Informieren Sie sich hier über unser Leistungsspektrum: Datenschutz-Grundverordnung (DSGVO)

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.