Was bedeutet Privacy by Design / Privacy by Default wirklich?

Fachbeitrag

Privacy by Design and Default oder Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen sind keine neuen Begriffe. Im Rahmen der DSGVO erlangen sie jedoch neue Bedeutung und sind in Art. 25 der Datenschutz-Grundverordnung (DSGVO) verankert. Obwohl diese Begriffe oft zusammen verwendet werden, steht jeder Begriff für sich und ist entsprechend auch jeweils zu beachten. Was genau dahinter steckt verrät Ihnen dieser Beitrag.

Was steht hinter den Begriffen?

Privacy by Design

Übersetzt heißt Privacy by Design „Datenschutz durch Technikgestaltung“ und greift den Grundgedanken auf, dass sich der Datenschutz am besten einhalten lässt, wenn er bereits bei Erarbeitung eines Datenverarbeitungsvorgangs technisch integriert ist. In anderen Worten: der Schutz personenbezogener Daten im Sinne der DSGVO erfolgt durch das frühzeitige Ergreifen technischer und organisatorischer Maßnahmen (TOMs) im Entwicklungsstadium.

Privacy by Default

Privacy by Default heißt übersetzt „Datenschutz durch datenschutzfreundliche Voreinstellungen“ und bedeutet, dass die Werkeinstellungen datenschutzfreundlich auszugestalten sind. Nach dem Grundgedanken sollen insbesondere die Nutzer geschützt werden, die weniger technikaffin sind und z.B. dadurch nicht geneigt sind, die datenschutzrechtlichen Einstellungen ihren Wünschen entsprechend anzupassen. Dieser Gedanke steht hinter dem Begriff „Privacy Paradox“, wonach Nutzer grundsätzlich den Schutz ihrer Privatsphäre befürworten, aber nicht aktiv entsprechende Einstellungen vornehmen.

Welche TOMs soll ich ergreifen?

So genau lässt sich das gar nicht sagen. Als Beispiel einer technischen und organisatorischen Maßnahme nennt Art. 25 Abs. 1 DSGVO die Pseudonymisierung. Diese ist in Art. 4 Nr. 5 DSGVO definiert.

Andere geeignete TOMs nennt Erwägungsgrund 78 nur ganz abstrakt:

„… Solche Maßnahmen könnten unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, der betroffenen Person ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen, und der Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern …“.

Konkreter wird der Gesetzgeber nicht. Für die Praxis ist allerdings ein Rückgriff auf Art. 32 DSGVO zur Orientierung hilfreich, der neben der Pseudonymisierung auch das Beispiel der Verschlüsselung nennt.

Bei der Wahl der Maßnahmen ist zugleich zu beachten, dass die konkreten Maßnahmen auch immer unter Berücksichtigung des Stands der Technik und der Implementierungskosten auszuwählen sind. Auch Art, Umfang, Umstände und Zweck der Verarbeitung sind bei der Auswahl heranzuziehen und bei Art. 25 Abs. 1 DSGVO auch dem Risiko der Verarbeitung gegenüberzustellen. Durch die Verwendung von „Maßnahmen“ im Plural stellt der Gesetzgeber klar, dass mehrere Maßnahmen parallel zu ergreifen sind und eine einzelne Schutzmaßnahme nicht ausreicht.

Mögliche Maßnahmen

Neben der Pseudonymisierung ist auch die Anonymisierung eine mögliche Maßnahme, um den Geboten des Datenschutzes durch Technikgestaltung zu genügen. Ferner ist die Nutzerauthentifizierung sinnvoll, sowie die technische Umsetzung des Widerspruchsrechts (Art. 21 DSGVO). Ferner ist ein Rückgriff auf andere Standards, wie bspw. die IT-Grundschutzkataloge des Bundesamts für Sicherheit in der Informationstechnologie (BSI) sinnvoll.

Was Sie im spezifischen Fall von Apps beachten sollten, lesen Sie hier.

Praktische Relevanz

Bei den Anforderungen aus Art. 25 DSGVO handelt es sich um extrem praxisrelevante Regelung, die jedoch aufgrund des Einzelfalles keine standardisierte Antwort erlauben. Da insbesondere die Technikgestaltung in einem frühen Entwicklungsstadium zu berücksichtigen ist und entsprechende Auswirkung auf das gesamte datenverarbeitende System hat, sind die Verantwortlichen angehalten, sich mit diesen Anforderungen frühzeitig zu befassen. Art. 25 Abs. 3 DSGVO gibt den Verantwortlichen die Möglichkeit, die Einhaltung der Anforderungen aus Art. 25 DSGVO durch Zertifizierungen im Sinne des Art. 42 DSGVO nachzuweisen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutz-Grundverordnung (DSGVO)

5 Kommentare zu diesem Beitrag

  1. Das ganze Thema geht mir extrem auf den Zeiger! Ich habe als reines Hobby gut 30 Seiten als mittlerweile Privatperson im Natz. Von Blogs über Affiliate Shops bis zu staatischen Seiten. Meine Frage ist nun ob das alles auch für private Anbieter gild? Sicherlich kann ich die Kommentarfunktionen anpassen und auch Hinweisen aber was ist zum beispiel mit Google Adsense?

  2. In dem Moment, wo du Geld mit deinen Seiten verdienst, bist du leider kein privater Anbieter mehr. Dann bist du auch im Visier der Abmahnanwälte. Die sind nämlich die Einzigen, denen die DSGVO hilft. Für die Endkunden wird das Internet verschlimmbessert und Firmen sind plötzlich alle kriminell.

  3. „Privacy by default“… hier hat bspw. Microsoft beim (aktuell) großen 1803er Update von Windows 10 nachholbedarf. Alle „Datensammelnden-Einstellungen“ sind so ausgelegt, dass die Vorauswahl immer auf die maximal mögliche Datenkommunikation mit Microsoft stattfindet. Bin gespannt wann hier mal was gemacht wird.

    • @SGE: Werden denn personenbezogene Daten an MS übermittelt oder anonyme Daten von Windows? Bzw. lässt sich das wirklich verifizieren? MS stellen sich ja gerne als Vorreiter im Datenschutz dar (Office365), zusammen mit Amazon Web Services. Ich habe da bei globalen digitalen Großkonzernen ein instinktives Misstrauen, weil strenger Datenschutz und deren Geschäftsmodelle einfach nicht gut zusammen passen.

  4. @Webdesign Magdeburg: man muss nicht mal Geld verdienen mit der Seite, es reicht dort Werbung für Dritte zu machen (z.B. Links setzen), die Geld verdienen wollen. Es wird zunehmend schwerer eine reine Hobby-Webseite zu betreiben und jeglichen werbenden und monetären Charakter zu vermeiden.

    Der Wandel zur digitalen Gesellschaft ist tiefgreifend und hat auch Schattenseiten, wie alles andere auch. Der Aufwand sich mit diesem Wandel auseinanderzusetzen ist vergleichsweise gering (kostengünstig). Es mag nervig sein eine Datenschutzerklärung (mit einem Online Generator) zu erstellen, aber es ist allemal billiger und einfacher, als z.B. Sicherheits-Anforderungen des TÜV an Produktionsstätten umzusetzen.

    Scheinbar ist es in unserer Instant-Gesellschaft schon zuviel verlangt ein paar Mausklicks mehr zu machen. Dafür gibt man aber halb-wissentlich jegliche Grundrechte auf informationelle Selbstbestimmung ab? Es gibt nicht nur Autokratien und Diktaturen, auch eine Technokratie ist keine schöne Zukunftsvision, nur ist es irgendwann mal zu spät noch was dagegen zu tun – siehe China mit dem Projekt der „Social Scores“, wo einem das Überqueren einer roten Ampel, Meckern über den Chef oder das Vergessen einer Überweisung das Leben versauen kann (z.B. darf man dann irgendwann keine Langstrecken-Bahntickets mehr kaufen). Wollen wir dahin?

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.