Privacy by Design und by Default

Keine Angst, jetzt kommt kein Englischkurs. In der DSGVO wurden die international gebräuchlichen Begriffe ins Deutsche übertragen:

Privacy by Design = Datenschutz durch Technikgestaltung
Privacy by Default = datenschutzfreundliche Voreinstellungen

Worum geht‘s?

Die Konzepte von Privacy by Design und by Default soll erreichen, dass der Datenschutz frühzeitig mitgedacht und beachtet wird. Eingesetzte Systeme, Anwendungen und Produkte sollen bereits von sich aus gewährleisten, dass eine möglichst datensparsame und -sichere Verarbeitung erfolgt.

Privacy by Design setzt hierzu bereits in der Konzeptionsphase eines neuen Produkts oder einer neuen Dienstleistung an.

Privacy by Default soll die Einrichtung von datenschutzfreundlichen Voreinstellungen bei erstmaliger Nutzung von Anwendungen, Produkten etc. fördern. Ziel ist es, das Risiko einer Verletzung der Privatsphäre frühzeitig zu minimieren.

Muss das denn sein?

Ja, Privacy by Design and Privacy by Default sind zwingend zu beachten.

Diese zwei datenschutzrechtlichen Konzepte sind in Artikel 25 DSGVO verankert und verpflichten den Verantwortlichen dazu, die Sicherstellung der Privatsphäre frühzeitig im Blick zu haben und bei der Planung von Produkten und Dienstleistungen sowie im Rahmen von Neuanschaffungen zu berücksichtigen.

  • Art. 25 Abs. 1 DSGVO – Datenschutz durch Technikgestaltung (Privacy by Design)
  • Art. 25 Abs. 2 DSGVO – Datenschutz durch datenschutzfreundliche Voreinstellungen (Privacy by Default)
  • Erwägungsgrund 78

Sie wollen mehr wissen?

Wen betrifft‘s?

Den Verantwortlichen

Das Gesetz verpflichtet den Verantwortlichen für die Datenverarbeitung und somit die Unternehmensleitung. 

Nicht die Entwickler und Hersteller

Hingegen sollen Entwickler und Hersteller hinsichtlich der von Ihnen angebotenen Produkte und Dienstleistungen nicht verpflichtet, sondern lediglich ermuntert werden, diese Grundsätze in der Produktentwicklung und dem Produktangebot zu berücksichtigten. 

Und die Auftragsverarbeiter?

Es bleibt in Ihrer Risikosphäre als Verantwortlicher durch Vorgaben zu technischen und organisatorischen Maßnahmen (TOM) die datenschutzrechtlichen Anforderungen an die Datenverarbeitung auch für Auftragsverarbeiter sicherzustellen und diese in Verträgen zur Einhaltung zu verpflichten. Keine Sorge: In der Praxis haben mittlerweile viele Dienstleister, die Auftragsverarbeitung anbieten, angemessene TOM bestimmt.

Privacy by Design im Detail

Bereits zum Zeitpunkt Ihrer Entscheidung, neue Mittel für die Datenverarbeitung einzusetzen, sind die datenschutzrechtlichen Aspekte mitzudenken. Dies beeinflusst somit die Planung einer Neuanschaffung oder die Konzeption neuer Dienstleistungen. Ein Beispiel ist die Beauftragung eines Programmieres, Ihrer Webseite neuen Schwung zu verleihen.

So soll erreicht werden, dass der Datenschutz letztlich in der von Ihnen als Verantwortlicher eingesetzten Anwendung (z. B. Adressdatenbank, Webshop) bereits integriert ist und die Möglichkeit eines datenschutzkonformen Einsatzes nicht erst durch zusätzliche Anwendungen oder Maßnahmen grundlegend geschaffen werden muss. Die Implementierung entsprechender technischer Komponenten soll die Einhaltung der Privatssphäre bereits im Ursprung der Datenverarbeitung möglichst sicherstellen.

Was ist bei der Abwägung von Maßnahmen zu berücksichtigen

Bei der Abwägung der im Rahmen von Privacy by Design zu treffenden Maßnahmen sind nach dem Gesetz folgende Aspekte zu berücksichtigen:

  • Stand der Technik
  • Implementierungskosten
  • Art, Umfang sowie Umstände und Zwecke der Verarbeitung
  • Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen

Ab welchem Zeitpunkt ist Privacy by Design zu beachten?
  • Bereits vor Verarbeitungsbeginn sollen die Maßnahmen festgelegt werden. Es ist also bereits bei der Planung der Datenschutz mitzudenken und konkret zu planen.
  • Die tatsächliche Umsetzung der vorgesehenen Maßnahmen ist auch später im Auge zu behalten.

Gibt es einen verbindlichen Maßnahmenkatalog?
  • Nein, weder legt das Gesetz einen verbindlichen Mindeststandard fest, noch gibt es einen verbindlichen Katalog von Maßnahmen. Welche Maßnahmen konkret zu ergreifen sind, ist von der Ausgestaltung der geplanten Verarbeitung abhängig. Hierzu ist eine Risikoabwägung vorzunehmen.

Was sind Beispiele für geeignete Maßnahmen im Rahmen von Datenschutz durch Technikgestaltung?
  • Datensparsamkeit: Angebot entsprechender Konfigurationsmöglichkeiten und Beschränkung von Datenabfragefeldern, Verzicht auf Freitextfelder sowie Maßnahmen der Pseudonymisierung
  • Transparenz: Erstellung und Integration einer Datenschutzerklärung, um den Betroffenen über die Verarbeitung seiner Daten zu unterrichten
  • Zugriffskontrolle: Implementierung von Zugriffschutz (z. B. Zwei-Faktor-Authentifizierung) und Rollenkonzepten mit gestaffelten Zugriffsrechten
  • Integrität und Vertraulichkeit: Beachtung technischer Sicherheitsstandards (z. B. Verschlüsselungs- und Signaturverfahren), um die Vertraulichkeit und Integrität der personenbezogenen Daten zu schützen
  • Nutzerkontrolle: Den Nutzern muss die Möglichkeit gegeben werden, ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten zu geben oder zu widerrufen.
  • Einwilligung: automatisiertes Einwilligungsmanagement mit Möglichkeit, jederzeit die Einwilligung zu widerrufen
  • Datenrichtigkeit: Automatisierte Prüfung von Daten auf Plausibilität bei Datenaufnahme, z. B. durch Abgleich oder Prüfung auf Schlüssigkeit von Adressdaten, Telefonnummern oder Bankverbindungen; Einrichtung eines Kundenaccounts, um dem Nutzer die Korrektur und Aktualisierung seiner Daten zu ermöglichen.
  • Löschung: Schaffung von technischen Möglichkeiten, um Löschroutinen zu bestimmen, Daten und Datensätze gezielt der Löschung zuzuführen und einen sicheren Löschprozess zu gestalten
  • Datenschutz-Folgenabschätzung: In bestimmten Fällen muss eine Datenschutz-Folgenabschätzung durchgeführt werden, um die Auswirkungen der Verarbeitung personenbezogener Daten auf die Privatsphäre der betroffenen Personen zu bewerten und geeignete Maßnahmen zu ergreifen

  • Auskunftsverlangen: Möglichkeit der automatisierten Abwicklung mit Filter- und Suchfunktion in den Datenbeständen, um Auskunftsverlangen schnell und vollständig bearbeiten zu können.

Privacy by Default im Detail

Nicht nur bei der Planung einer Neuanschaffung oder Konzeption neuer Angebote ist der Datenschutz frühzeitig zu beachten, sondern auch im Rahmen der nachfolgenden Anwendung und Nutzung.

Stets ist bei erstmaliger Nutzung zu prüfen, ob die Einstellungen einer Software auch tatsächlich den erforderlichen Umfang von Daten abfragen und deren Verarbeitung abdecken oder ob nicht bereits die Voreinstellung weit über das Ziel hinausschießt und mehr Daten abfragt und verarbeitet, als notwendig sind.

Die Einstellungen von Systemen oder Technik sollten bereits im Standardmodus so voreingestellt sein, dass eine möglichst datensparsame und -sichere Verarbeitung gewährleistet wird.

Ab welchem Zeitpunkt ist Privacy by Default zu beachten?
  • Datenschutzfreundliche Voreinstellungen kommen beim erstmaligen Einsatz von Anwendungen, Diensten und Produkten zum Einsatz.
  • Sie sind auch beim fortlaufenden Betrieb zu beachten, zu überwachen und ggf. anzupassen.

Gibt es einen verbindlichen Maßnahmenkatalog?
  • Das Gesetz gibt vor, dass die Grundsätze von Zweckbindung, Datenminimierung und Speicherbegrenzung zu beachten sind.
  • Die Voreinstellungen von Anwendungen müssen demnach datenschutzfreundlich in Bezug auf die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit erfolgen.

Was sind Beispiele für geeignete Maßnahmen für datenschutzfreundliche Voreinstellungen?
  • Sichere Passwörter wählen, Zwei-Faktor-Authentifizierung nutzen
  • Kamera- und Mikrofonfunktionen deaktivieren, Freigabe nur durch ausdrückliche Zustimmung, z. B. bei Videokonferenzen
  • Digitale Assistenten und Ortungsfunktionen deaktivieren und nur mittels aktiver Aktivierung nutzen
  • Automatische Verbindungen mit Netzwerken beschränken
  • Datenmenge minimieren, nur für den Verarbeitungszweck erforderliche Daten aufnehmen, Möglichkeiten der Datenbegrenzung in Einstellungen von Software, Apps und Produkten nutzen, kein pauschaler Zugriff auf das Adress-/Telefonverzeichnis, anonymisierte Daten verwenden
  • Sicherheitsmechanismen nutzen, z. B. verschlüsselte Speicherung aktivieren
  • Regelmäßige Update-Suche bei Software und Apps einstellen
  • Auswahlmöglichkeit bei Profilen, wie „öffentlich“, „privat“, „Familie“ oder „Freunde“ restriktiv einstellen
  • Speicherfrist begrenzen, z. B. Nachfrage, ob ungenutztes Kundenkonto deaktiviert werden kann

Wie geht‘s weiter?

Schritt 12
Vorsorgen