Personenbezogene Daten sind im digitalen Zeitalter Gold wert. Damit Bürger:innen nicht die Selbstbestimmung über ihre Daten verlieren, erhebt die DSGVO in Art. 25 die Prinzipien „Datenschutz durch Technikgestaltung“ und „datenschutzfreundliche Voreinstellungen“ zum Standard. In der Fachwelt sind sie überwiegend unter den englischen Bezeichnungen „Privacy by Design“ und „Privacy by Default“ bekannt.
Privacy by Design
Privacy by Design bedeutet, dass Datenschutz bereits in die Entwicklung und Konzeption von Technik einfließt und darin eingebettet ist – z. B. bei Software und Hardware. Da eine vollständige Umsetzung in Datenverarbeitungssystemen nicht praktikabel ist, fordert die DSGVO angemessene Vorkehrungen. Verantwortliche entscheiden nach eigenem Ermessen, welche Maßnahmen sie ergreifen wollen, beispielsweise Anonymisierung oder Pseudonymisierung sowie interne Regeln zum Speichern und Löschen von Daten.
Die DSGVO gibt vor, dass bei der Auswahl der Maßnahmen folgende Punkte zu bedenken sind:
-
Der Stand der Technik
-
Die Implementierungskosten
-
Art und Umfang der Datenverarbeitung
-
Die unterschiedliche Eintrittswahrscheinlichkeit und die Schwere der mit einer Datenverarbeitung verbundenen Risiken
Privacy by Default
Das Prinzip Privacy by Default bezieht sich auf datenschutzfreundliche Voreinstellungen. Verfügen beispielsweise Geräte, Anwendungen oder Webdienste über Einstellungsmöglichkeiten für den Datenschutz, dürfen diese bei der Auslieferung nur die minimal erforderlichen Daten der Betroffenen abfragen oder verarbeiten (etwa zu Werbezwecken). Dies dient besonders dem Schutz vonNutzer:innen, die sich mit Technik und Datenschutz weniger auskennen und nicht wissen, wie sie datenschutzrechtliche Einstellungen an ihre Wünsche anpassen können.
Abgesehen von einer kurzen Beschreibung der beiden Begriffe bietet die Datenschutz-Grundverordnung kaum Klarheit über die Bedeutung von Privacy by Design und Privacy by Default. Das hat zu einigen Missverständnissen geführt. So wird Privacy by Design häufig als Synonym für Privacy by Default verwendet. Das ist im Kern nicht richtig, vielmehr ist Privacy by Default ein Teilbereich von Privacy by Design.
Häufig werden die Prinzipien nur auf Software und Hardware bezogen. Tatsächlich lassen sich Privacy by Design und Privacy by Default auf alle Bereiche im Betrieb anwenden, also auf IT-Systeme, Produkte, Dienstleistungen, Veranstaltungen und Marketingaktivitäten ebenso wie auf interne Prozesse und das Personalmanagement.
Technische und organisatorische Maßnahmen (TOM)
Damit Verantwortliche bei der Verarbeitung personenbezogener Daten ein angemessenes
Schutzniveau sicherstellen können, definiert die DSGVO in Art. 32 eine Reihe an technischen und organisatorischen Maßnahmen (TOM).
Beispiele für technische Maßnahmen:
Beispiele für organisatorische Maßnahmen:
-
Rechtsgrundlagen beachten
-
Datenverarbeitung analysieren und kontinuierlich überwachen
-
Mitarbeitende zum Thema Datenschutz schulenZugangskontrolle und Registrierung von Besucher:innen professionalisierenVerhindern, dass Unbefugte Zutritt zu Datenverarbeitungsanlagen erhalten
-
Dokumente mit personenbezogenen Daten datenschutzkonform entsorgen
Insgesamt bleiben die in der DSGVO genannten Maßnahmen jedoch vage, sodass es hilfreich sein kann, externe Beratung in Anspruch zu nehmen. Auch wichtig: Privacy by Design und Privacy by Default sind keine einmaligen Maßnahmen, sondern erfordern ein regelmäßiges Überprüfen aller Prozesse, Systeme, Produkte und Dienstleistungen.
Dokumentieren Sie in jedem Fall alle Vorkehrungen sorgfältig, um sie bei Bedarf eindeutig nachweisen zu können und sich vor möglichen Bußgeldern oder einem Imageverlust zu schützen.
Die Vorteile für Ihr Unternehmen
Europäische Unternehmen befürchten zum Teil, dass Privacy by Design und Privacy by Default eine angestrebte Monetarisierung von personenbezogenen Daten zu sehr einschränken.
Große Online-Werbenetzwerke haben jedoch erkannt, dass zum Beispiel die Pseudonymisierung von Daten nicht im Widerspruch zu wirtschaftlich effektiven Persönlichkeitsanalysen steht. Im Gegenteil: Der Name einer Person lässt heute kaum noch Rückschlüsse auf kulturelle Vorlieben und Verhaltensweisen zu. Auch ein Datum ist für sich genommen wenig aussagekräftig. Erst Kontextinformationen darüber, wie sich eine Person in einer bestimmten Situation verhält, machen diese Informationen wertvoll.
Blindes Vertrauen in die vermeintliche Aussagekraft von personenbezogenen Daten kann daher zu falschen Analysen im Unternehmen führen. Privacy by Design und by Default verhindern dies. Und wenn die
Datenverantwortung auf die Nutzer:innen verlagert wird, kann das positive Auswirkungen haben: In einigen Branchen wie dem Gesundheitswesen hat sich gezeigt, dass natürliche Personen bereit sind, ihre Daten über das nötige Maß hinaus preiszugeben. Vorausgesetzt, sie haben den Eindruck, dass die Verarbeitung transparent und für sie vorteilhaft ist.
Unternehmen, die die Prinzipien von Privacy by Design und Privacy by Default sichtbar anwenden, können sich also bei Kund:innen beliebt machen und von mehreren Vorteilen profitieren:
-
Es ist nicht mehr nötig, Daten nachträglich zu anonymisieren; IT-Abteilungen sparen manuelle und zeitintensive Arbeit.
-
Das Vertrauen von Kund:innen in das Unternehmen steigt.
-
Die Kundenbindung ist höher.
-
Die Markenbindung steigt.
-
Unternehmen sensibilisieren ihre Mitarbeitenden für Datenschutz und Datensicherheit.
-
Ihr Unternehmen ist gegenüber Datenschutzbehörden weniger angreifbar.
Die Prinzipien der Datenschutzkonzepte erklärt
Die Idee hinter Privacy by Design wird bereits seit den 1970er-Jahren debattiert, bekannt wurde der Begriff jedoch erst ab 2009 durch die kanadische Datenschützerin Ann Cavoukian. In ihrem Aufsatz „Privacy by Design: The 7 Foundational Principles“ (Cavoukian, Privacy by Design, 2009)beschreibt sie erstmals die sieben wichtigsten Prinzipen für Privacy by Design, die die heutigen Anforderungen für Privacy by Default beinhalten:
-
Proaktiv, nicht reaktiv: Der Privacy-by-Design-Ansatz sieht in die Privatsphäre vordringende Ereignisse voraus und verhindert, dass sie geschehen können.
-
Datenschutz als Standard: Nutzer:innen müssen nicht selbst etwas unternehmen, um den Schutz ihrer Privatsphäre zu erlangen, sondern er ist bereits in den Standardeinstellungen vorgegeben.
-
Datenschutz als Konzept: Sowohl Design und Architektur von IT-Systemen als auch sämtliche Geschäftspraktiken sind so gestaltet, dass sie Datenschutz als Kernfunktionalität gerecht werden.
-
Volle Funktionalität – eine Positivsumme, keine Nullsumme: Berechtigte Interessen und Ziele erfüllen, ohne unnötige Kompromisse oder Abstriche bei der Funktionalität.
-
Durchgängige Sicherheit – Schutz während des gesamten Lebenszyklus: Der Schutz erstreckt sich auf den vollständigen Lebenszyklus der Daten – vom ersten Speichern bis zum endgültigen Löschen.
-
Sichtbarkeit und Transparenz – für Offenheit sorgen: Sicherheit für alle Beteiligten bezüglich der Technologien, Verfahren und Geschäftspraktiken.
-
Respekt der Privatsphäre: Die Interessen der Einzelpersonen und eine nutzerzentrierte Gestaltung müssen in IT-Systemen an erster Stelle stehen.
Je nachdem, welches Modell Sie aus der Fachliteratur für Privacy by Design und by Default ansetzen, kommen weitere Prinzipien hinzu. Dazu gehört es beispielsweise, die Gültigkeit und Zertifikate für sichere Authentifizierungsverfahren zu berücksichtigen. So ist die Norm ISO 31700 weitaus detaillierter als der ursprüngliche Entwurf von Cavoukian: Sie enthält statt der sieben Prinzipien bereits 30 Anforderungen.
Im Wesentlichen lassen sich die Prinzipien von Privacy by Design und Privacy by Default heute folgendermaßen zusammenfassen:
-
Datenminimierung und Datensparsamkeit als Grundprinzipien im Unternehmen etablieren
-
Voreinstellungen datenschutzkonform gestalten
-
Transparenz der Datenverarbeitung und Kontrollmöglichkeiten für Betroffene schaffen
-
Verfahren einsetzen, die aktuellen
Sicherheitsstandards entsprechen, und diese regelmäßig überprüfen und dokumentieren
Beispiele für Datenschutz by Design & by Default im Unternehmen
Wie Unternehmen die Prinzipien von Privacy by Design und Privacy by Default sinnvoll umsetzen können, zeigen drei typische Anwendungsfälle:
1. Beispiel: App
Verarbeitet eine App standardmäßig nur die für die Grundfunktionen erforderlichen Daten, handelt es sich um Privacy by Design. Sobald die App den Nutzer:innen die Möglichkeit bietet, eigene Einstellungen vorzunehmen, dürfen beim Installieren oder Ausliefern der App ausschließlich die Mindestrechte für die Grundfunktionen voreingestellt sein. Das nennt sich Privacy by Default. Dies gilt auch für Anwendungen, die nur für die interne Nutzung durch die Beschäftigten bestimmt sind.
2. Beispiel: Bewerbungstool
Wer ein Online-Bewerbungstool entwickelt oder nutzt, darf nur die für die Bewerbung notwendigen Daten wie Lebenslauf und Zeugnisse erfassen und nicht beispielsweise bereits die Steuer- oder Sozialversicherungsnummer.
3. Beispiel: Analyse-Tools für Websites
Ein weitverbreitetes Anwendungsfeld von Privacy by Design und Privacy by Default ist der Einsatz von Cookie-Bannern als Consent Manager (Einwilligungsmanager), der einer Website vorgeschaltet ist.
Websites, die nur technisch notwendige Cookies verwenden, sind nach dem Prinzip Privacy by Design gestaltet. Das betrifft zum Beispiel Cookies, die notwendig sind, um eine Website im Browser darzustellen oder einen Warenkorb zu füllen.
Für die Nutzung von technisch nicht notwenigen Cookies wie Google Analytics oder anderer Tracking- und Marketing-Tools müssen Unternehmen die Einwilligung der Nutzer:innen einholen. Mithilfe solcher Cookies können Onlineshops zum Beispiel erfassen, über welche Website Nutzer:innen den Shop betreten haben oder wohin sie anschließend gesurft sind. Wenn Sie als Unternehmen Analyse-Plattformen nutzen, achten Sie darauf, dass diese ihre Dienste mit Zertifikaten untermauern. Gängige Zertifikate hierfür sind ISO 27001 und SOC-2.