Privacy by Design & Privacy by Default erklärt

Viele sind mit den Datenschutzprinzipien Privacy by Design und Privacy by Default vertraut. Aber oft gibt es bei Unternehmen und Nutzer:innen noch Unklarheiten, was sich dahinter verbirgt. Inwieweit sind diese Prinzipien in Ihrem Betrieb umgesetzt und welche Vorteile bringt es? Eine Bestandsaufnahme anhand einer Checkliste kann sich lohnen.

Nach der europäischen Datenschutz-Grundverordnung (DSGVO) sind „Datenschutz durch Technikgestaltung“ (Privacy by Design) und „datenschutzfreundliche Voreinstellungen“ (Privacy by Default) für den Schutz der Privatsphäre seit 2018 verpflichtend. Da alle Erläuterungen der DSGVO hierzu technologieneutral bleiben müssen, fehlt gerade kleinen und mittleren Unternehmen oft eine Liste konkreter Maßnahmen, die sie Schritt für Schritt abarbeiten können.

Die neue Norm ISO 31700 formuliert hierfür erstmals einen weltweiten Standard. Die am 8. Februar 2023 veröffentlichte zweiteilige Norm (ISO 31700-1 und ISO 31700-2) ist als Empfehlung zu verstehen und soll Unternehmen bei der Umsetzung von Privacy by Design und Privacy by Default unterstützen.

Was sind Privacy by Design & Privacy by Default laut DSGVO?

Personenbezogene Daten sind im digitalen Zeitalter Gold wert. Damit Bürger:innen nicht die Selbstbestimmung über ihre Daten verlieren, erhebt die DSGVO in Art. 25 die Prinzipien „Datenschutz durch Technikgestaltung“ und „datenschutzfreundliche Voreinstellungen“ zum Standard. In der Fachwelt sind sie überwiegend unter den englischen Bezeichnungen „Privacy by Design“ und „Privacy by Default“ bekannt.

Privacy by Design

Privacy by Design bedeutet, dass Datenschutz bereits in die Entwicklung und Konzeption von Technik einfließt und darin eingebettet ist – z. B. bei Software und Hardware. Da eine vollständige Umsetzung in Datenverarbeitungssystemen nicht praktikabel ist, fordert die DSGVO angemessene Vorkehrungen. Verantwortliche entscheiden nach eigenem Ermessen, welche Maßnahmen sie ergreifen wollen, beispielsweise Anonymisierung oder Pseudonymisierung sowie interne Regeln zum Speichern und Löschen von Daten.
Die DSGVO gibt vor, dass bei der Auswahl der Maßnahmen folgende Punkte zu bedenken sind:
  • Der Stand der Technik
  • Die Implementierungskosten
  • Art und Umfang der Datenverarbeitung
  • Die unterschiedliche Eintrittswahrscheinlichkeit und die Schwere der mit einer Datenverarbeitung verbundenen Risiken

Privacy by Default

Das Prinzip Privacy by Default bezieht sich auf datenschutzfreundliche Voreinstellungen. Verfügen beispielsweise Geräte, Anwendungen oder Webdienste über Einstellungsmöglichkeiten für den Datenschutz, dürfen diese bei der Auslieferung nur die minimal erforderlichen Daten der Betroffenen abfragen oder verarbeiten (etwa zu Werbezwecken). Dies dient besonders dem Schutz vonNutzer:innen, die sich mit Technik und Datenschutz weniger auskennen und nicht wissen, wie sie datenschutzrechtliche Einstellungen an ihre Wünsche anpassen können.
Abgesehen von einer kurzen Beschreibung der beiden Begriffe bietet die Datenschutz-Grundverordnung kaum Klarheit über die Bedeutung von Privacy by Design und Privacy by Default. Das hat zu einigen Missverständnissen geführt. So wird Privacy by Design häufig als Synonym für Privacy by Default verwendet. Das ist im Kern nicht richtig, vielmehr ist Privacy by Default ein Teilbereich von Privacy by Design.
Häufig werden die Prinzipien nur auf Software und Hardware bezogen. Tatsächlich lassen sich Privacy by Design und Privacy by Default auf alle Bereiche im Betrieb anwenden, also auf IT-Systeme, Produkte, Dienstleistungen, Veranstaltungen und Marketingaktivitäten ebenso wie auf interne Prozesse und das Personalmanagement.

Technische und organisatorische Maßnahmen (TOM)

Damit Verantwortliche bei der Verarbeitung personenbezogener Daten ein angemessenes Schutzniveau sicherstellen können, definiert die DSGVO in Art. 32 eine Reihe an technischen und organisatorischen Maßnahmen (TOM).
Beispiele für technische Maßnahmen:
  • Personenbezogene Daten pseudonymisieren und verschlüsseln
  • Sichere VPNs
  • Firewall nutzen, um Risiken zu minimieren
  • Alarmanlagen und Bewegungsmelder installieren
Beispiele für organisatorische Maßnahmen:
  • Rechtsgrundlagen beachten
  • Datenverarbeitung analysieren und kontinuierlich überwachen
  • Mitarbeitende zum Thema Datenschutz schulenZugangskontrolle und Registrierung von Besucher:innen professionalisierenVerhindern, dass Unbefugte Zutritt zu Datenverarbeitungsanlagen erhalten
  • Dokumente mit personenbezogenen Daten datenschutzkonform entsorgen
Insgesamt bleiben die in der DSGVO genannten Maßnahmen jedoch vage, sodass es hilfreich sein kann, externe Beratung in Anspruch zu nehmen. Auch wichtig: Privacy by Design und Privacy by Default sind keine einmaligen Maßnahmen, sondern erfordern ein regelmäßiges Überprüfen aller Prozesse, Systeme, Produkte und Dienstleistungen.
Dokumentieren Sie in jedem Fall alle Vorkehrungen sorgfältig, um sie bei Bedarf eindeutig nachweisen zu können und sich vor möglichen Bußgeldern oder einem Imageverlust zu schützen.

Die Vorteile für Ihr Unternehmen

Europäische Unternehmen befürchten zum Teil, dass Privacy by Design und Privacy by Default eine angestrebte Monetarisierung von personenbezogenen Daten zu sehr einschränken.
Große Online-Werbenetzwerke haben jedoch erkannt, dass zum Beispiel die Pseudonymisierung von Daten nicht im Widerspruch zu wirtschaftlich effektiven Persönlichkeitsanalysen steht. Im Gegenteil: Der Name einer Person lässt heute kaum noch Rückschlüsse auf kulturelle Vorlieben und Verhaltensweisen zu. Auch ein Datum ist für sich genommen wenig aussagekräftig. Erst Kontextinformationen darüber, wie sich eine Person in einer bestimmten Situation verhält, machen diese Informationen wertvoll.
Blindes Vertrauen in die vermeintliche Aussagekraft von personenbezogenen Daten kann daher zu falschen Analysen im Unternehmen führen. Privacy by Design und by Default verhindern dies. Und wenn die Datenverantwortung auf die Nutzer:innen verlagert wird, kann das positive Auswirkungen haben: In einigen Branchen wie dem Gesundheitswesen hat sich gezeigt, dass natürliche Personen bereit sind, ihre Daten über das nötige Maß hinaus preiszugeben. Vorausgesetzt, sie haben den Eindruck, dass die Verarbeitung transparent und für sie vorteilhaft ist.
Unternehmen, die die Prinzipien von Privacy by Design und Privacy by Default sichtbar anwenden, können sich also bei Kund:innen beliebt machen und von mehreren Vorteilen profitieren:
  • Es ist nicht mehr nötig, Daten nachträglich zu anonymisieren; IT-Abteilungen sparen manuelle und zeitintensive Arbeit.
  • Das Vertrauen von Kund:innen in das Unternehmen steigt.
  • Die Kundenbindung ist höher.
  • Die Markenbindung steigt.
  • Unternehmen sensibilisieren ihre Mitarbeitenden für Datenschutz und Datensicherheit.
  • Ihr Unternehmen ist gegenüber Datenschutzbehörden weniger angreifbar.

Die Prinzipien der Datenschutzkonzepte erklärt

Die Idee hinter Privacy by Design wird bereits seit den 1970er-Jahren debattiert, bekannt wurde der Begriff jedoch erst ab 2009 durch die kanadische Datenschützerin Ann Cavoukian. In ihrem Aufsatz „Privacy by Design: The 7 Foundational Principles“ (Cavoukian, Privacy by Design, 2009)beschreibt sie erstmals die sieben wichtigsten Prinzipen für Privacy by Design, die die heutigen Anforderungen für Privacy by Default beinhalten:
  1. Proaktiv, nicht reaktiv: Der Privacy-by-Design-Ansatz sieht in die Privatsphäre vordringende Ereignisse voraus und verhindert, dass sie geschehen können.
  2. Datenschutz als Standard: Nutzer:innen müssen nicht selbst etwas unternehmen, um den Schutz ihrer Privatsphäre zu erlangen, sondern er ist bereits in den Standardeinstellungen vorgegeben.
  3. Datenschutz als Konzept: Sowohl Design und Architektur von IT-Systemen als auch sämtliche Geschäftspraktiken sind so gestaltet, dass sie Datenschutz als Kernfunktionalität gerecht werden.
  4. Volle Funktionalität – eine Positivsumme, keine Nullsumme: Berechtigte Interessen und Ziele erfüllen, ohne unnötige Kompromisse oder Abstriche bei der Funktionalität.
  5. Durchgängige Sicherheit – Schutz während des gesamten Lebenszyklus: Der Schutz erstreckt sich auf den vollständigen Lebenszyklus der Daten – vom ersten Speichern bis zum endgültigen Löschen.
  6. Sichtbarkeit und Transparenz – für Offenheit sorgen: Sicherheit für alle Beteiligten bezüglich der Technologien, Verfahren und Geschäftspraktiken.
  7. Respekt der Privatsphäre: Die Interessen der Einzelpersonen und eine nutzerzentrierte Gestaltung müssen in IT-Systemen an erster Stelle stehen.
Je nachdem, welches Modell Sie aus der Fachliteratur für Privacy by Design und by Default ansetzen, kommen weitere Prinzipien hinzu. Dazu gehört es beispielsweise, die Gültigkeit und Zertifikate für sichere Authentifizierungsverfahren zu berücksichtigen. So ist die Norm ISO 31700 weitaus detaillierter als der ursprüngliche Entwurf von Cavoukian: Sie enthält statt der sieben Prinzipien bereits 30 Anforderungen.
Im Wesentlichen lassen sich die Prinzipien von Privacy by Design und Privacy by Default heute folgendermaßen zusammenfassen:
  • Datenminimierung und Datensparsamkeit als Grundprinzipien im Unternehmen etablieren
  • Voreinstellungen datenschutzkonform gestalten
  • Transparenz der Datenverarbeitung und Kontrollmöglichkeiten für Betroffene schaffen
  • Verfahren einsetzen, die aktuellen Sicherheitsstandards entsprechen, und diese regelmäßig überprüfen und dokumentieren

Beispiele für Datenschutz by Design & by Default im Unternehmen

Wie Unternehmen die Prinzipien von Privacy by Design und Privacy by Default sinnvoll umsetzen können, zeigen drei typische Anwendungsfälle:

1. Beispiel: App

Verarbeitet eine App standardmäßig nur die für die Grundfunktionen erforderlichen Daten, handelt es sich um Privacy by Design. Sobald die App den Nutzer:innen die Möglichkeit bietet, eigene Einstellungen vorzunehmen, dürfen beim Installieren oder Ausliefern der App ausschließlich die Mindestrechte für die Grundfunktionen voreingestellt sein. Das nennt sich Privacy by Default. Dies gilt auch für Anwendungen, die nur für die interne Nutzung durch die Beschäftigten bestimmt sind.

2. Beispiel: Bewerbungstool

Wer ein Online-Bewerbungstool entwickelt oder nutzt, darf nur die für die Bewerbung notwendigen Daten wie Lebenslauf und Zeugnisse erfassen und nicht beispielsweise bereits die Steuer- oder Sozialversicherungsnummer.

3. Beispiel: Analyse-Tools für Websites

Ein weitverbreitetes Anwendungsfeld von Privacy by Design und Privacy by Default ist der Einsatz von Cookie-Bannern als Consent Manager (Einwilligungsmanager), der einer Website vorgeschaltet ist.
Websites, die nur technisch notwendige Cookies verwenden, sind nach dem Prinzip Privacy by Design gestaltet. Das betrifft zum Beispiel Cookies, die notwendig sind, um eine Website im Browser darzustellen oder einen Warenkorb zu füllen.
Für die Nutzung von technisch nicht notwenigen Cookies wie Google Analytics oder anderer Tracking- und Marketing-Tools müssen Unternehmen die Einwilligung der Nutzer:innen einholen. Mithilfe solcher Cookies können Onlineshops zum Beispiel erfassen, über welche Website Nutzer:innen den Shop betreten haben oder wohin sie anschließend gesurft sind. Wenn Sie als Unternehmen Analyse-Plattformen nutzen, achten Sie darauf, dass diese ihre Dienste mit Zertifikaten untermauern. Gängige Zertifikate hierfür sind ISO 27001 und SOC-2.

Checkliste zur Umsetzung von Privacy by Design & by Default

Für die Umsetzung der Prinzipien Privacy by Design und Privacy by Default in allen Unternehmensbereichen – sowohl intern als auch extern – bieten die Angaben der DSGVO und die oben beschriebenen Prinzipien nur eine Richtschnur. Schlussendlich sind Datenschutzstandards im Unternehmen eine Einzelfallentscheidung. Um die Verarbeitung personenbezogener Daten an das für Ihr Unternehmen notwendige Maß anzupassen, kann Ihnen folgende Checkliste helfen, die Sie nach Ihrem Bedarf adaptieren können:
  • Beachten Sie die Grundsätze von Privacy by Design und Privacy by Default beim Einkauf von Soft- und Hardware und bei der Gestaltung von IT-Lösungen?
  • Haben Sie Datenschutzeinstellungen in bestehende Systeme soweit möglich integriert (Privacy by Design) oder können einige als Add-ons nachgereicht werden?
  • Ist Datenschutz in Ihrem Betrieb die Standardvoreinstellung bei allen Diensten, Systemen und Geräten (Privacy by Default)?
  • Prüfen Sie bestehende IT-Verfahren regelmäßig und nehmen Sie gegebenenfalls Änderungen in der inhaltlichen und/oder technischen Gestaltung vor?
  • Stimmen Sie Ihre Produktanforderungen mit den Datenschutz- und IT-Sicherheitsbeauftragten ab?
  • Stellen Sie verständliche und leicht zugängliche Informationen über die Art und Verarbeitung der erfassten personenbezogenen Daten bereit? Belegen Sie beispielsweise die Qualität der von Ihnen genutzten Software durch die Angabe von Siegeln wie ISO 27001?
  • Werden alle erhobenen und gespeicherten Daten im Unternehmen während ihres gesamten Lebenszyklus ausreichend geschützt? Von Bewerber:innen und Mitarbeiter:innen ebenso wie von Kund:innen oder Geschäftspartner:innen?
  • Sind alle Beschäftigten im Hinblick auf das frühzeitige Erkennen von Datenschutzrisiken ausreichend geschult?
  • Haben Sie ein passendes Rollen- und Rechtekonzept für Ihre Mitarbeitenden sowie angemessene Authentifizierungsverfahren?
  • Berücksichtigen Sie die Privacy-Regeln auch gegenüber Dritten, etwa bei der Wartung von Systemen durch externe Dienstleister?
  • Setzen Sie die Privacy-Vorgaben so um, dass sie einer Überprüfung durch die Aufsichtsbehörden standhalten? Protokollieren Sie Ihre Maßnahmen?

Privacy by Design & Privacy by Default: Das Wichtigste in Kürze

  • Privacy by Design und Privacy by Default sind Datenschutzprinzipien und in Art. 25 der Datenschutz-Grundverordnung (DSGVO) verankert.
  • Die deutsche Übersetzung ist „Datenschutz durch Technikgestaltung“ (Privacy by Design) und „datenschutzfreundliche Voreinstellungen“ (Privacy by Default).
  • Die DSGVO-Anforderungen hierzu sind für Unternehmen, die Daten sammeln und verwalten, verpflichtend.
  • Privacy by Design bedeutet, dass Datenschutz schon bei der Entwicklung von Technik ein Kernelement darstellt, z. B. bei Software und Hardware.
  • Privacy by Default bedeutet, dass Technik bereits bei der Auslieferung in den Voreinstellungen so gestaltet sein muss, dass sie den Nutzer:innen maximalen Datenschutz bietet.
  • Nach der DSGVO müssen Unternehmen für die Umsetzung von Privacy by Design und by Default angemessene technische und organisatorische Maßnahmen (TOM) ergreifen.
  • Die Verantwortlichen im Unternehmen entscheiden selbst, welche Maßnahmen sie treffen wollen.
  • Privacy by Design und by Default müssen nicht im Widerspruch zum Erfolg oder Wachstum von Unternehmen stehen. Sie bringen auch Vorteile mit sich wie eine höhere Kundenbindung und die geringere Angreifbarkeit durch Datenschutzbehörden.
  • Die Norm ISO 31700 beschreibt für Privacy by Design und Privacy by Default erstmals einen weltweiten Standard. Dieser wurde am 8. Februar 2023 veröffentlicht. Er ist bislang nicht bindend und soll Unternehmen bei der Umsetzung der Datenschutzprinzipien unterstützen.

Quelle:

https://www.vodafone.de/business/blog/privacy-by-design-20510/