Datenschutz Verstehen – Privacy by Design & Privacy by Default.
Kurze Einleitung:
Privacy by Design und Privacy by Default – gehört haben diese beiden Begriffe sicher schon jeder einmal. Doch was genau steckt dahinter? Bei beiden Begriffen handelt es sich um Konzepte des Datenschutzes, welche seit der Einführung der Datenschutz-Grundverordnung am 25. Mai 2018 verpflichtend für alle in Europa ansässigen Unternehmen sind. Allerdings stellt sich die Umsetzung dieser beiden Konzepte in der Praxis nicht immer einfach dar.
Bei vielen Unternehmen ist ein großer Handlungsbedarf in Hinblick auf die Umsetzung zu verzeichnen und die Berücksichtigung dieser datenschutzrechtlichen Konzepte stellt eine herausfordernde Tätigkeit dar. In diesem Beitrag beschäftigen wir uns mit der datenschutzkonformen Umsetzung von Privacy by Design und Privacy by Default und stellen die Vorteile dar, welche mit diesen Maßnahmen für die Nutzer:innen und Unternehmen einhergehen.
Privacy by Design
Wobei handelt es sich nun bei Privacy by Design? Dieses Konzept definiert sich mit Datenschutz durch Technikgestaltung. Vereinfacht beschrieben geht es hierbei um die Festlegung der Mittel für die Verarbeitung von personenbezogenen Daten. Dabei wird der Grundsatz verfolgt, dass sich der Datenschutz am besten einhalten lässt, wenn dieser bereits im Entwicklungsstadium anhand vom Ergreifen geeigneter technischer und organisatorischer Maßnahmen (TOM) gewährleistet wird.
Konkret bedeutet dies, dass Datenschutz-Aspekte schon bei der Konzeption von Software und Hardware Berücksichtigung finden müssen. Hierdurch entsteht zum einen die Sicherheit, dass sich die TOM stets auf dem neusten Stand der Technik befinden und zum anderen eine Gewährleistung, dass schon bei der Entwicklung neuer Technologien ein hohes Datenschutzniveau eingehalten wird. In den nächsten Abschnitten klären wir auf, was die DSGVO genau unter Privacy by Design versteht und nachfolgend welche Vorteile durch die Einhaltung entstehen.
Privacy by Design nach der DSGVO
In der Datenschutz-Grundverordnung ist die Definition von Privacy by Design in Art. 25 in Absatz 1 zu finden. Hier heißt es, dass der Verantwortliche (i.d.R. das jeweilige Unternehmen) für die Datenverarbeitung unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen Maßnahmen trifft. Dies geschieht sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung durch geeignete technische und organisatorische Maßnahmen. Zu diesen TOM zählen neben der Anonymisierung von Daten auch die Pseudonymisierung von Daten. Beide Varianten sind darauf ausgelegt, Datenschutzgrundsätze wie z.B. jenen der Datenminimierung zu gewährleisten.
Privacy by Design Vorteile
Im Folgenden werden nun die Vorteile aufgezeigt, welche Privacy by Design mit sich bringt. Klassischerweise finden in Unternehmen spezielle Schulungen statt zur Einhaltung der Anforderungen durch Privacy by Design. Neben der Erhöhung des Bewusstseins von Beschäftigten für den Datenschutz im Unternehmen ist auch eine deutlich schnellere Reaktionszeit bei auftretenden Problemen zu verzeichnen. Dies wiederum führt zu einer deutlichen Senkung von Kosten und auch Arbeitsaufwänden, da Maßnahmen wie beispielsweise die nachträgliche Anonymisierung von Kundendaten nicht mehr notwendig sind.
Ebenso wird für Unternehmen das Risiko, mögliche Bußgelder zahlen zu müssen, verringert, da es durch Privacy by Design zur Vermeidung potenzieller Datenschutzverletzungen kommt. All diese Vorteile ergeben sich durch die Beachtung von Datenschutzstandards bereits zum Zeitpunkt der Planung, Programmierung oder Herstellung neuer Leistungen, Produkte und Technologien. Aufgrund der Komplexität der Umsetzungsmöglichkeiten bedarf es jedoch stets einer Einzellfallbetrachtung durch einen Datenschutzexperten. So sollten, je nach Umfang der Umsetzung der Vorgaben aus der DSGVO auch entsprechende Zertifizierungen, wie zum Beispiel eine ISO 27001 Zertifizierung eingeholt werden.
Privacy by Default
Privacy by Default wird im Gegensatz zu Privacy by Design eine Ebene tiefer berücksichtigt. Während es sich bei Privacy by Design um grundsätzliche Technikgestaltung und Maßnahmen handelt, fokussiert sich Privacy by Default auf die Konfigurations- und Betriebsebene. Durch Privacy by Default wird ein hohes Datenschutzniveau anhand von datenschutzfreundlichen Voreinstellungen erreicht. Umsetzung findet dieses Konzept im Zuge der Ausgestaltung der Werkseinstellungen von Apps, Programmen oder sonstigen Anwendungen, ohne dass die Nutzer:innen diese Einstellungen eigenständig tätigen müssen. Natürlich kann Privacy by Default auch in Prozessen berücksichtigt werden und nicht nur in digitalen Anwendungen.
Dennoch führen wir als Beispiel zur Veranschaulichung eine digitale Lösung an: Der mittlerweile marktübliche Cookie-Consent-Manager, welcher durch entsprechende Voreinstellungen dem Datenschutz gerecht wird, jedoch im Weiteren individuell nach Belieben angepasst werden kann, ist ein gutes Beispiel. Gerade für nicht technikversierte User:innen stellt dies eine große Erleichterung dar. Im Zuge dessen wird auch dem sogenannten Privacy Paradox Genüge getan, welches beschreibt, dass sich Menschen widersprüchlich in Bezug auf ihre Privatsphäre verhalten. So werden sehr persönliche Informationen geteilt, sich aber im gleichen Zuge Sorgen um die Privatsphäre gemacht. Durch Privacy by Default kann diesem Phänomen somit nutzerfreundlich entgegengewirkt werden.
Privacy by Default gemäß DSGVO
Die Definition für Privacy by Default befindet sich in Abschnitt 2 des Art. 25 der Datenschutz-Grundverordnung. Darin wird normiert, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen ergreift, die sicherstellen, dass durch Voreinstellungen nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind, verarbeitet werden. Betroffen hiervon ist die Menge der erhobenen personenbezogenen Daten sowie der Umfang der Verarbeitung, die Speicherfrist und ihre Zugänglichkeit.
Privacy by Default Vorteile
Auch die Vorteile von Privacy by Default werden im Folgenden genauere Betrachtung finden: Anhand der datenschutzfreundlichen Voreinstellungen für Nutzer:innen findet ein automatischer Schutz vor der Verarbeitung von personenbezogenen Daten jener Personen statt, welche nicht technikaffin und daher nicht in der Lage sind, Einstellungen nach ihren Vorstellungen anzupassen. Hier sind auch Cookie-Richtlinien sehr hilfreich und verbessern die Nutzerfreundlichkeit zusätzlich, da Trackingeinstellungen einfach gestaltet werden und die User:innen diesen nur noch zustimmen oder diese ablehnen müssen. So fand früher das sogenannte Opt-Out-Verfahren Anwendung, ein Marketing-Verfahren, welches eine Einwilligung annimmt, sofern einer solchen nicht widersprochen wird. Heutzutage hingegen verlangt die DSGVO die Einwilligung der Nutzer:innen, welche auf der Freiwilligkeit beruht und ein aktives Handeln voraussetzt. So kann sichergestellt werden, dass die Nutzer:innen sich damit beschäftigt haben, in welche Verarbeitungen sie einwilligen. Im Ergebnis finden durch die konsequente Berücksichtigung von Privacy by Default weniger Überraschungen bei der Benutzung von Anwendungen und Services auf Seiten der Nutzer:innen statt. Das führt auf Seiten von Unternehmen zu weniger Support-Aufwänden und Erklärungsnotwendigkeiten.
Unterschied zwischen Privacy by Default und Privacy by Design
Zusammenfassend bleibt festzuhalten, dass es sich in beiden Absätzen des Art. 25 DSGVO um Verpflichtungen zum Schutz der Verarbeitung von personenbezogenen Daten handelt. Hierbei geht es bei Privacy bei Design um die Entwicklung von datenschutzkonformer Software sowie Hardware. Privacy by Default hingegen schützt die Privatsphäre der Nutzer:innen anhand von datenschutzfreundlichen Voreinstellungen. Gemeint ist in beiden Fällen das Erfordernis, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen sowie notwendige Sicherheitsvorkehrungen trifft. Wie so oft im Datenschutz funktionieren also nur beide Prinzipien im Einklang, um ein angemessenes Schutzniveau zu erreichen.
Privacy by Design und Privacy by Default im Unternehmen
Auch im Unternehmen ist es wichtig, dass nach den Privacy-Prinzipien gem. Art 25 DSGVO agiert wird. Insbesondere sind hiervon die digitalen Unternehmensbereiche betroffen, wie die IT (interne Soft- und Hardware), aber auch das Management (in Hinblick auf Mitarbeiter:innen sowie Bewerber:innen) und die Personalabteilung. Verantwortlicher für die Umsetzung des Datenschutzes im Unternehmen können sowohl der intern oder extern bestellte Datenschutzbeauftragte, sowie andere zertifizierte Dienste, Systeme oder Geräte sein. Natürlich müssen Umsetzungsstrategien im gesamten Unternehmen bedacht werden, sodass im Ergebnis das Datenschutzniveau das erforderliche Maß an Konformität erreicht. Daher finden Sie anschließend eine Checkliste als erste Orientierungshilfe für die Umsetzung von Privacy by Design und Privacy by Default. Empfehlenswert ist die Steuerung von Umsetzungsmaßnahmen mittels einer Datenschutz-Software. Weitere Hilfe können Sie hier anfragen.
Checkliste Privacy by Design und Default
Diese 7 Prinzipien sollten im Unternehmen etabliert werden, um die Umsetzung des Datenschutzes, vornehmlich von Privacy by Design und Privacy by Default, zu gewährleisten.
- Privacy by Default: Es muss sichergestellt werden, dass der Datenschutz die Standard-Einstellung bei allen IT-Systemen ist. Eine nachträgliche Korrektur sollte nicht mehr notwendig sein.
- Privacy by Design: Datenschutzeinstellungen sollten bereits in der Software integriert sein, sodass keine Add-ons notwendig sind?
- Kompromisslos: Für den Datenschutz und die Datensicherheit sollten keine Kompromisse im Funktionsumfang gemacht werden, es sollten nur die nötigsten personenbezogenen Daten erhoben werden. Sollten die Umstände dies in Ausnahmefällen nicht zulassen, so ist wichtig, dass Daten pseudonymisiert oder anonymisiert erhoben werden.
- Rücksicht auf die Privatsphäre der Nutzer: Verfolgen Sie hohe Datenschutzstandards und räumen Sie die benutzerfreundliche Möglichkeit einer Individualisierung des Datenschutzes ein.
- Durchgängiger Schutz: Alle Daten müssen während ihrer gesamten Lebensdauer ausreichend geschützt sein, sowie eine vollständige Löschung der Daten bei Wunsch.
- Sicherheit vor Kontrollen: Die Privacy-Richtlinien sollten so umgesetzte werden, dass Sie einer unabhängigen Überprüfung der Aufsichtsbehörden jederzeit standhalten?
Proaktives Handeln: Alle Mitarbeiter:innen sollten so geschult werden, dass Sie Datenschutzrisiken frühzeitig erkennen können?
Fazit
Zusammenfassend bleibt zu sagen, dass sowohl Privacy by Design als auch Privacy by Default seit dem Inkrafttreten der DSGVO verpflichtend für alle Unternehmen in Europa sind. Zusätzlich fordern Unternehmen, welche Ihre zukünftigen Kunden sein könnten, im Einkaufsprozess genau diese Umsetzung der DSGVO. Somit sind diese Maßnahmen unabdingbar, um überhaupt am Markt erfolgreich teilnehmen zu können. Verankerung finden die beiden Verpflichtungen in Art. 25 DSGVO und bringen neben dem hohen Aufwand in der Umsetzung, z.B. einem höheren Entwicklungsaufwand bei Software, auch eine große Anzahl an Vorteilen für Unternehmen sowie Nutzer:innen. Darüber hinaus sollte stets bedacht werden, dass es bei einer Nichteinhaltung der Vorschriften zu hohen Bußgeldern kommen kann. Positiv gilt jedoch zu verzeichnen, dass sich durch eine Einhaltung der Norm eine deutliche Stärkung der Kundentreue entwickeln kann.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.