Beispiel für Privacy by Default

Privacy by Design & Privacy by Default

Datenschutz durch Technikgestaltung sieht die DSGVO mittels privacy by design vor. Privacy by default soll zudem datenschutzfreundliche Voreinstellungen garantieren. In der Praxis funktioniert das nicht immer.

2020-12-18

Logo

Die Begriffe Privacy by Design und Privacy by Default begegnen einem im Zuge der DSGVO immer wieder. Sie stehen für Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen. Diese Prinzipien bieten Nutzer:innen viele Vorteile, für Unternehmen bedeuten sie Handlungsbedarf – und dieser wird in der Praxis leider oftmals nicht wahrgenommen.


Privacy by Design und Privacy by Default nach DSGVO

Beide Begriffe werden in Art. 25 DSGVO definiert. Dieser Artikel befasst sich ausschließlich mit Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen. So sollen personenbezogene Daten von betroffenen Personen direkt von Beginn an geschützt werden.

  • Privacy by Design: In Art. 25 Abs. 1 DSGVO ist von Datenschutz durch Technikgestaltung die Rede. Konkret bedeutet das, dass der Datenschutz-Aspekt schon von Beginn an berücksichtigt wird, sobald eine Soft- oder Hardware entwickelt wird, die Daten verarbeiten kann. Privacy by Design betrifft daher vor allem die Softwareentwicklung und kann z.B. mittels entsprechender technischer und organisatorischer Maßnahmen (TOM) (wie zum Beispiel Pseudonymisierung oder Anonymisierung) schon im Entwicklungsstadium umgesetzt werden.

  • Privacy by Default: Von diesem Begriff handelt Art. 25 Abs. 2 DSGVO. Hier geht es um Datenschutz durch datenschutzfreundliche Voreinstellungen, also um den Datenschutz als Standardeinstellung. Die Idee dahinter ist, dass Dienst-, System- oder Geräte-Voreinstellungen (Werkseinstellungen) so umgesetzt werden, dass sie sich möglichst datenschutzfreundlich gestalten. So sollen auch Nutzer:innen geschützt werden, die nicht sehr technik-versiert sind und ggf. selbst keine Datenschutzeinstellungen nach ihren Wünschen verändern können.

 

Privacy by Design: Vorteile und Vorgehen

Das Privacy by Design-Konzept bietet für Nutzer:innen und Unternehmen viele Vorteile, da sie sich bei der Verwendung einer neuen Soft- oder Hardware sicher sein können, dass bereits bei deren Programmierung bzw. Herstellung auf gewisse Datenschutz-Standards geachtet wurde. So sollen von einer entsprechenden Software z.B. nur jene Daten erhoben werden, die auch wirklich für einen Verarbeitungszweck notwendig sind. Die Verarbeitung personenbezogener Daten soll so auf ein notwendiges Maß reduziert werden.

Obwohl Art. 25 DSGVO sehr anwendungsorientiert ist, braucht es für die Umsetzung der darin gemachten Vorgaben für Entwickler:innen stets eine Einzelfallbetrachtung. Je nachdem, wie streng die DSGVO-Vorgaben umgesetzt werden konnten, besteht anschließend die Möglichkeit, dies mit Zertifizierungen, z.B. mit der ISO 27001 oder anderen Siegeln für eine hohe Softwarequalität, nach Art. 42 DSGVO zu zeigen. Wenn Sie in Ihrem Unternehmen personenbezogene Daten verarbeiten, dann sollten Sie bevorzugt auf zertifizierte Softwareprodukte zurückgreifen, die ein entsprechendes Siegel vorweisen.

 

Vorteile von Privacy by Default

Diese Vorgaben für datenschutzfreundliche Voreinstellungen sind insbesondere für Nutzer:innen des Internets und Websitebetreiber:innen interessant. In Verbindung mit der neuen Cookie-Richtlinie müssen User:innen z.B. nicht mehr umständlich ihre Einstellungen, ob sie das Tracking zu Werbezwecken erlauben oder nicht, beim Surfen anpassen. Musste man der Datennutzung lange aktiv widersprechen (Opt-Out), so muss sie nun standardmäßig deaktiviert sein.

Leider haben diese Vorgaben sowohl kleine als auch große Unternehmen noch immer nicht umgesetzt. Meist geschieht es aus Nachlässigkeit, dass der Cookiebanner und das Trackingverhalten nicht angepasst werden. Dies stellt aber einen Verstoß gegen die DSGVO dar und kann mit hohen Bußgeldern bestraft werden. 

 

Umsetzung der Privacy-Prinzipien im Unternehmen

Unternehmen müssen intern auch nach den Privacy-Prinzipien agieren. Das bedeutet zum einen, dass Nutzerdaten geschützt werden. Dies reicht in alle Unternehmensbereiche hinein, z.B. von der Website (Cookie- und Trackingeinstellungen) über IT (auch Mitarbeiter:innen-Daten sind hier mit eingeschlossen; die interne Soft- und Hardware-Landschaft ist entsprechend datenschutzfreundlich anzupassen), bis hin zum Management von Bewerber:innen (sind die verwendeten Recruiting-Tools darauf ausgelegt, dass sie nur notwendige Daten erheben?).

Hilfe bei der korrekten internen Umsetzung können sowohl die bereits erwähnten Zertifizierungen von Diensten, Systemen oder Geräten bilden. Ansonsten ist auch der Datenschutzbeauftragte dafür zuständig, die Umsetzung der Privacy-Prinzipien im Unternehmen zu implementieren. Zudem können Ihnen diese Grundprinzipien helfen, um die Einhaltung der Privacy-Prinzipien in Ihrem Unternehmen zu überprüfen:

  • Privacy by Default: Ist der Datenschutz die Standard-Einstellung bei allen Diensten, Systemen und Geräten?

  • Privacy by Design: Sind Datenschutzeinstellungen bereits überall integriert und müssen nicht als Ad-Ons nachgebessert werden?

  • Funktionalitätsumfang: Sind die Einstellungen für Datensicherheit und Datenschutz keine Funktionalitäts-Blocker? Kompromisse im gewährleisteten Funktionsumfang, wenn nicht notwendige personenbezogene Daten erhoben werden sollen, sind nicht zulässig.

  • Dauerhafter Schutz: Werden alle erhobenen und gespeicherten Daten im gesamten Unternehmen während ihres gesamten Lifecycles ausreichend geschützt? Dabei ist es egal, ob es sich um die Daten von Bewerber:innen, Mitarbeiter:innen, Kund:innen oder Geschäftspartner:innen handelt.

  • Kontrollsicherheit: Setzen Sie die Privacy-Richtlinien so um, dass Sie einer Überprüfung der Aufsichtsbehörden standhalten?

  • Proaktiv Handeln: Sind alle Mitarbeiter:innen geschult, um evtl. drohende Datenschutzrisiken frühzeitig zu erkennen?

 

Autorin: Kathrin Strauß
Artikel veröffentlicht am: 18.12.2020

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr