Viele sind mit den Datenschutzprinzipien Privacy by Design und Privacy by Default vertraut. Aber oft gibt es bei Unternehmen und Nutzer:innen noch Unklarheiten, was sich dahinter verbirgt. Inwieweit sind diese Prinzipien in Ihrem Betrieb umgesetzt und welche Vorteile bringt es? Eine Bestandsaufnahme anhand einer Checkliste kann sich lohnen.
Nach der europäischen Datenschutz-Grundverordnung (DSGVO) sind „Datenschutz durch Technikgestaltung“ (Privacy by Design) und „datenschutzfreundliche Voreinstellungen“ (Privacy by Default) für den Schutz der Privatsphäre seit 2018 verpflichtend. Da alle Erläuterungen der DSGVO hierzu technologieneutral bleiben müssen, fehlt gerade kleinen und mittleren Unternehmen oft eine Liste konkreter Maßnahmen, die sie Schritt für Schritt abarbeiten können.
Die neue Norm ISO 31700 formuliert hierfür erstmals einen weltweiten Standard. Die am 8. Februar 2023 veröffentlichte zweiteilige Norm (ISO 31700-1 und ISO 31700-2) ist als Empfehlung zu verstehen und soll Unternehmen bei der Umsetzung von Privacy by Design und Privacy by Default unterstützen.
Was sind Privacy by Design & Privacy by Default laut DSGVO?
Privacy by Design
-
Der Stand der Technik
-
Die Implementierungskosten
-
Art und Umfang der Datenverarbeitung
-
Die unterschiedliche Eintrittswahrscheinlichkeit und die Schwere der mit einer Datenverarbeitung verbundenen Risiken
Privacy by Default
Technische und organisatorische Maßnahmen (TOM)
-
Personenbezogene Daten pseudonymisieren und verschlüsseln
-
Sichere VPNs
-
Firewall nutzen, um Risiken zu minimieren
-
Alarmanlagen und Bewegungsmelder installieren
-
Rechtsgrundlagen beachten
-
Datenverarbeitung analysieren und kontinuierlich überwachen
-
Mitarbeitende zum Thema Datenschutz schulenZugangskontrolle und Registrierung von Besucher:innen professionalisierenVerhindern, dass Unbefugte Zutritt zu Datenverarbeitungsanlagen erhalten
-
Dokumente mit personenbezogenen Daten datenschutzkonform entsorgen
Die Vorteile für Ihr Unternehmen
-
Es ist nicht mehr nötig, Daten nachträglich zu anonymisieren; IT-Abteilungen sparen manuelle und zeitintensive Arbeit.
-
Das Vertrauen von Kund:innen in das Unternehmen steigt.
-
Die Kundenbindung ist höher.
-
Die Markenbindung steigt.
-
Unternehmen sensibilisieren ihre Mitarbeitenden für Datenschutz und Datensicherheit.
-
Ihr Unternehmen ist gegenüber Datenschutzbehörden weniger angreifbar.
Die Prinzipien der Datenschutzkonzepte erklärt
-
Proaktiv, nicht reaktiv: Der Privacy-by-Design-Ansatz sieht in die Privatsphäre vordringende Ereignisse voraus und verhindert, dass sie geschehen können.
-
Datenschutz als Standard: Nutzer:innen müssen nicht selbst etwas unternehmen, um den Schutz ihrer Privatsphäre zu erlangen, sondern er ist bereits in den Standardeinstellungen vorgegeben.
-
Datenschutz als Konzept: Sowohl Design und Architektur von IT-Systemen als auch sämtliche Geschäftspraktiken sind so gestaltet, dass sie Datenschutz als Kernfunktionalität gerecht werden.
-
Volle Funktionalität – eine Positivsumme, keine Nullsumme: Berechtigte Interessen und Ziele erfüllen, ohne unnötige Kompromisse oder Abstriche bei der Funktionalität.
-
Durchgängige Sicherheit – Schutz während des gesamten Lebenszyklus: Der Schutz erstreckt sich auf den vollständigen Lebenszyklus der Daten – vom ersten Speichern bis zum endgültigen Löschen.
-
Sichtbarkeit und Transparenz – für Offenheit sorgen: Sicherheit für alle Beteiligten bezüglich der Technologien, Verfahren und Geschäftspraktiken.
-
Respekt der Privatsphäre: Die Interessen der Einzelpersonen und eine nutzerzentrierte Gestaltung müssen in IT-Systemen an erster Stelle stehen.
-
Datenminimierung und Datensparsamkeit als Grundprinzipien im Unternehmen etablieren
-
Voreinstellungen datenschutzkonform gestalten
-
Transparenz der Datenverarbeitung und Kontrollmöglichkeiten für Betroffene schaffen
-
Verfahren einsetzen, die aktuellen Sicherheitsstandards entsprechen, und diese regelmäßig überprüfen und dokumentieren
Beispiele für Datenschutz by Design & by Default im Unternehmen
1. Beispiel: App
2. Beispiel: Bewerbungstool
3. Beispiel: Analyse-Tools für Websites
Checkliste zur Umsetzung von Privacy by Design & by Default
-
Beachten Sie die Grundsätze von Privacy by Design und Privacy by Default beim Einkauf von Soft- und Hardware und bei der Gestaltung von IT-Lösungen?
-
Haben Sie Datenschutzeinstellungen in bestehende Systeme soweit möglich integriert (Privacy by Design) oder können einige als Add-ons nachgereicht werden?
-
Ist Datenschutz in Ihrem Betrieb die Standardvoreinstellung bei allen Diensten, Systemen und Geräten (Privacy by Default)?
-
Prüfen Sie bestehende IT-Verfahren regelmäßig und nehmen Sie gegebenenfalls Änderungen in der inhaltlichen und/oder technischen Gestaltung vor?
-
Stimmen Sie Ihre Produktanforderungen mit den Datenschutz- und IT-Sicherheitsbeauftragten ab?
-
Stellen Sie verständliche und leicht zugängliche Informationen über die Art und Verarbeitung der erfassten personenbezogenen Daten bereit? Belegen Sie beispielsweise die Qualität der von Ihnen genutzten Software durch die Angabe von Siegeln wie ISO 27001?
-
Werden alle erhobenen und gespeicherten Daten im Unternehmen während ihres gesamten Lebenszyklus ausreichend geschützt? Von Bewerber:innen und Mitarbeiter:innen ebenso wie von Kund:innen oder Geschäftspartner:innen?
-
Sind alle Beschäftigten im Hinblick auf das frühzeitige Erkennen von Datenschutzrisiken ausreichend geschult?
-
Haben Sie ein passendes Rollen- und Rechtekonzept für Ihre Mitarbeitenden sowie angemessene Authentifizierungsverfahren?
-
Berücksichtigen Sie die Privacy-Regeln auch gegenüber Dritten, etwa bei der Wartung von Systemen durch externe Dienstleister?
-
Setzen Sie die Privacy-Vorgaben so um, dass sie einer Überprüfung durch die Aufsichtsbehörden standhalten? Protokollieren Sie Ihre Maßnahmen?
Privacy by Design & Privacy by Default: Das Wichtigste in Kürze
-
Privacy by Design und Privacy by Default sind Datenschutzprinzipien und in Art. 25 der Datenschutz-Grundverordnung (DSGVO) verankert.
-
Die deutsche Übersetzung ist „Datenschutz durch Technikgestaltung“ (Privacy by Design) und „datenschutzfreundliche Voreinstellungen“ (Privacy by Default).
-
Die DSGVO-Anforderungen hierzu sind für Unternehmen, die Daten sammeln und verwalten, verpflichtend.
-
Privacy by Design bedeutet, dass Datenschutz schon bei der Entwicklung von Technik ein Kernelement darstellt, z. B. bei Software und Hardware.
-
Privacy by Default bedeutet, dass Technik bereits bei der Auslieferung in den Voreinstellungen so gestaltet sein muss, dass sie den Nutzer:innen maximalen Datenschutz bietet.
-
Nach der DSGVO müssen Unternehmen für die Umsetzung von Privacy by Design und by Default angemessene technische und organisatorische Maßnahmen (TOM) ergreifen.
-
Die Verantwortlichen im Unternehmen entscheiden selbst, welche Maßnahmen sie treffen wollen.
-
Privacy by Design und by Default müssen nicht im Widerspruch zum Erfolg oder Wachstum von Unternehmen stehen. Sie bringen auch Vorteile mit sich wie eine höhere Kundenbindung und die geringere Angreifbarkeit durch Datenschutzbehörden.
-
Die Norm ISO 31700 beschreibt für Privacy by Design und Privacy by Default erstmals einen weltweiten Standard. Dieser wurde am 8. Februar 2023 veröffentlicht. Er ist bislang nicht bindend und soll Unternehmen bei der Umsetzung der Datenschutzprinzipien unterstützen.
Quelle:
https://www.vodafone.de/business/blog/privacy-by-design-20510/