Privacy by Design und Privacy by Default

31. Januar 2022

Datenschutz Verstehen – Privacy by Design & Privacy by Default.

Kurze Einleitung:

Privacy by Design und Privacy by Default – gehört haben diese beiden Begriffe sicher schon jeder einmal. Doch was genau steckt dahinter? Bei beiden Begriffen handelt es sich um Konzepte des Datenschutzes, welche seit der Einführung der Datenschutz-Grundverordnung am 25. Mai 2018 verpflichtend für alle in Europa ansässigen Unternehmen sind. Allerdings stellt sich die Umsetzung dieser beiden Konzepte in der Praxis nicht immer einfach dar.

Bei vielen Unternehmen ist ein großer Handlungsbedarf in Hinblick auf die Umsetzung zu verzeichnen und die Berücksichtigung dieser datenschutzrechtlichen Konzepte stellt eine herausfordernde Tätigkeit dar. In diesem Beitrag beschäftigen wir uns mit der datenschutzkonformen Umsetzung von Privacy by Design und Privacy by Default und stellen die Vorteile dar, welche mit diesen Maßnahmen für die Nutzer:innen und Unternehmen einhergehen.

Inhalt:

Privacy by Design
- Privacy by Design nach der DSGVO
- Privacy by Design Vorteile
Privacy by Default
- Privacy by Default gemäß DSGVO
- Privacy by Default Vorteile
Unterschied zwischen Privacy by Design & Privacy by Default

Datenschutz eBook

Unsere Datenschutz eBooks

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei die praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

eBook erhalten

Privacy by Design

Wobei handelt es sich nun bei Privacy by Design? Dieses Konzept definiert sich mit Datenschutz durch Technikgestaltung. Vereinfacht beschrieben geht es hierbei um die Festlegung der Mittel für die Verarbeitung von personenbezogenen Daten. Dabei wird der Grundsatz verfolgt, dass sich der Datenschutz am besten einhalten lässt, wenn dieser bereits im Entwicklungsstadium anhand vom Ergreifen geeigneter technischer und organisatorischer Maßnahmen (TOM) gewährleistet wird.

Konkret bedeutet dies, dass Datenschutz-Aspekte schon bei der Konzeption von Software und Hardware Berücksichtigung finden müssen. Hierdurch entsteht zum einen die Sicherheit, dass sich die TOM stets auf dem neusten Stand der Technik befinden und zum anderen eine Gewährleistung, dass schon bei der Entwicklung neuer Technologien ein hohes Datenschutzniveau eingehalten wird. In den nächsten Abschnitten klären wir auf, was die DSGVO genau unter Privacy by Design versteht und nachfolgend welche Vorteile durch die Einhaltung entstehen.

Privacy by Design nach der DSGVO

In der Datenschutz-Grundverordnung ist die Definition von Privacy by Design in Art. 25 in Absatz 1 zu finden. Hier heißt es, dass der Verantwortliche (i.d.R. das jeweilige Unternehmen) für die Datenverarbeitung unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen Maßnahmen trifft. Dies geschieht sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung durch geeignete technische und organisatorische Maßnahmen. Zu diesen TOM zählen neben der Anonymisierung von Daten auch die Pseudonymisierung von Daten. Beide Varianten sind darauf ausgelegt, Datenschutzgrundsätze wie z.B. jenen der Datenminimierung zu gewährleisten.

Privacy by Design Vorteile

Im Folgenden werden nun die Vorteile aufgezeigt, welche Privacy by Design mit sich bringt. Klassischerweise finden in Unternehmen spezielle Schulungen statt zur Einhaltung der Anforderungen durch Privacy by Design. Neben der Erhöhung des Bewusstseins von Beschäftigten für den Datenschutz im Unternehmen ist auch eine deutlich schnellere Reaktionszeit bei auftretenden Problemen zu verzeichnen. Dies wiederum führt zu einer deutlichen Senkung von Kosten und auch Arbeitsaufwänden, da Maßnahmen wie beispielsweise die nachträgliche Anonymisierung von Kundendaten nicht mehr notwendig sind.

Ebenso wird für Unternehmen das Risiko, mögliche Bußgelder zahlen zu müssen, verringert, da es durch Privacy by Design zur Vermeidung potenzieller Datenschutzverletzungen kommt. All diese Vorteile ergeben sich durch die Beachtung von Datenschutzstandards bereits zum Zeitpunkt der Planung, Programmierung oder Herstellung neuer Leistungen, Produkte und Technologien. Aufgrund der Komplexität der Umsetzungsmöglichkeiten bedarf es jedoch stets einer Einzellfallbetrachtung durch einen Datenschutzexperten. So sollten, je nach Umfang der Umsetzung der Vorgaben aus der DSGVO auch entsprechende Zertifizierungen, wie zum Beispiel eine ISO 27001 Zertifizierung eingeholt werden.

Datenschutz-Managementsystem

Jetzt Ihren Datenschutzbeauftragten kennenlernen.

Wir erklären Ihnen in einem persönlichen Erstgespräch den Ablauf einer Datenschutz-Optimierung. Sie lernen unsere zertifizierten Juristen kennen, welche als Datenschutzbeauftragte für Sie tätig werden. Wir freuen uns auf Sie!

Über 450 Unternehmen vertrauen international unserem Team aus Datenschutzbeauftragten.

Über 72% effizienter als marktüblich optimieren wir Ihre Datenschutz-Organisation.

Anfrage stellen

externer Datenschutzbeauftragter - Termin buchen

Privacy by Default

Privacy by Default wird im Gegensatz zu Privacy by Design eine Ebene tiefer berücksichtigt. Während es sich bei Privacy by Design um grundsätzliche Technikgestaltung und Maßnahmen handelt, fokussiert sich Privacy by Default auf die Konfigurations- und Betriebsebene. Durch Privacy by Default wird ein hohes Datenschutzniveau anhand von datenschutzfreundlichen Voreinstellungen erreicht. Umsetzung findet dieses Konzept im Zuge der Ausgestaltung der Werkseinstellungen von Apps, Programmen oder sonstigen Anwendungen, ohne dass die Nutzer:innen diese Einstellungen eigenständig tätigen müssen. Natürlich kann Privacy by Default auch in Prozessen berücksichtigt werden und nicht nur in digitalen Anwendungen.

Dennoch führen wir als Beispiel zur Veranschaulichung eine digitale Lösung an: Der mittlerweile marktübliche Cookie-Consent-Manager, welcher durch entsprechende Voreinstellungen dem Datenschutz gerecht wird, jedoch im Weiteren individuell nach Belieben angepasst werden kann, ist ein gutes Beispiel. Gerade für nicht technikversierte User:innen stellt dies eine große Erleichterung dar. Im Zuge dessen wird auch dem sogenannten Privacy Paradox Genüge getan, welches beschreibt, dass sich Menschen widersprüchlich in Bezug auf ihre Privatsphäre verhalten. So werden sehr persönliche Informationen geteilt, sich aber im gleichen Zuge Sorgen um die Privatsphäre gemacht. Durch Privacy by Default kann diesem Phänomen somit nutzerfreundlich entgegengewirkt werden.

Privacy by Default gemäß DSGVO

Die Definition für Privacy by Default befindet sich in Abschnitt 2 des Art. 25 der Datenschutz-Grundverordnung. Darin wird normiert, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen ergreift, die sicherstellen, dass durch Voreinstellungen nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind, verarbeitet werden. Betroffen hiervon ist die Menge der erhobenen personenbezogenen Daten sowie der Umfang der Verarbeitung, die Speicherfrist und ihre Zugänglichkeit.

Privacy by Default Vorteile

Auch die Vorteile von Privacy by Default werden im Folgenden genauere Betrachtung finden: Anhand der datenschutzfreundlichen Voreinstellungen für Nutzer:innen findet ein automatischer Schutz vor der Verarbeitung von personenbezogenen Daten jener Personen statt, welche nicht technikaffin und daher nicht in der Lage sind, Einstellungen nach ihren Vorstellungen anzupassen. Hier sind auch Cookie-Richtlinien sehr hilfreich und verbessern die Nutzerfreundlichkeit zusätzlich, da Trackingeinstellungen einfach gestaltet werden und die User:innen diesen nur noch zustimmen oder diese ablehnen müssen. So fand früher das sogenannte Opt-Out-Verfahren Anwendung, ein Marketing-Verfahren, welches eine Einwilligung annimmt, sofern einer solchen nicht widersprochen wird. Heutzutage hingegen verlangt die DSGVO die Einwilligung der Nutzer:innen, welche auf der Freiwilligkeit beruht und ein aktives Handeln voraussetzt. So kann sichergestellt werden, dass die Nutzer:innen sich damit beschäftigt haben, in welche Verarbeitungen sie einwilligen. Im Ergebnis finden durch die konsequente Berücksichtigung von Privacy by Default weniger Überraschungen bei der Benutzung von Anwendungen und Services auf Seiten der Nutzer:innen statt. Das führt auf Seiten von Unternehmen zu weniger Support-Aufwänden und Erklärungsnotwendigkeiten.

Datenschutz-Managementsystem

Datenschutz-Management-System

+ über 200 Vorlagen
+ Maßnahmen- & Aufgabensteuerung
+ Export in Word- & PDF-Format
+ Mandantenfähig
+ Automatisierte Prozesse

Informieren Sie sich über den Einsatz eines Datenschutz-Management-Systems (DSMS), damit Sie das Thema Datenschutz noch effizienter gestalten können.

Mehr erfahren

Unterschied zwischen Privacy by Default und Privacy by Design

Zusammenfassend bleibt festzuhalten, dass es sich in beiden Absätzen des Art. 25 DSGVO um Verpflichtungen zum Schutz der Verarbeitung von personenbezogenen Daten handelt. Hierbei geht es bei Privacy bei Design um die Entwicklung von datenschutzkonformer Software sowie Hardware. Privacy by Default hingegen schützt die Privatsphäre der Nutzer:innen anhand von datenschutzfreundlichen Voreinstellungen. Gemeint ist in beiden Fällen das Erfordernis, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen sowie notwendige Sicherheitsvorkehrungen trifft. Wie so oft im Datenschutz funktionieren also nur beide Prinzipien im Einklang, um ein angemessenes Schutzniveau zu erreichen.

Privacy by Design und Privacy by Default im Unternehmen

Auch im Unternehmen ist es wichtig, dass nach den Privacy-Prinzipien gem. Art 25 DSGVO agiert wird. Insbesondere sind hiervon die digitalen Unternehmensbereiche betroffen, wie die IT (interne Soft- und Hardware), aber auch das Management (in Hinblick auf Mitarbeiter:innen sowie Bewerber:innen) und die Personalabteilung. Verantwortlicher für die Umsetzung des Datenschutzes im Unternehmen können sowohl der intern oder extern bestellte Datenschutzbeauftragte, sowie andere zertifizierte Dienste, Systeme oder Geräte sein. Natürlich müssen Umsetzungsstrategien im gesamten Unternehmen bedacht werden, sodass im Ergebnis das Datenschutzniveau das erforderliche Maß an Konformität erreicht. Daher finden Sie anschließend eine Checkliste als erste Orientierungshilfe für die Umsetzung von Privacy by Design und Privacy by Default. Empfehlenswert ist die Steuerung von Umsetzungsmaßnahmen mittels einer Datenschutz-Software. Weitere Hilfe können Sie hier anfragen.

Checkliste Privacy by Design und Default

Diese 7 Prinzipien sollten im Unternehmen etabliert werden, um die Umsetzung des Datenschutzes, vornehmlich von Privacy by Design und Privacy by Default, zu gewährleisten.

Privacy by Default: Es muss sichergestellt werden, dass der Datenschutz die Standard-Einstellung bei allen IT-Systemen ist. Eine nachträgliche Korrektur sollte nicht mehr notwendig sein.
Privacy by Design: Datenschutzeinstellungen sollten bereits in der Software integriert sein, sodass keine Add-ons notwendig sind?
Kompromisslos: Für den Datenschutz und die Datensicherheit sollten keine Kompromisse im Funktionsumfang gemacht werden, es sollten nur die nötigsten personenbezogenen Daten erhoben werden. Sollten die Umstände dies in Ausnahmefällen nicht zulassen, so ist wichtig, dass Daten pseudonymisiert oder anonymisiert erhoben werden.
Rücksicht auf die Privatsphäre der Nutzer: Verfolgen Sie hohe Datenschutzstandards und räumen Sie die benutzerfreundliche Möglichkeit einer Individualisierung des Datenschutzes ein.
Durchgängiger Schutz: Alle Daten müssen während ihrer gesamten Lebensdauer ausreichend geschützt sein, sowie eine vollständige Löschung der Daten bei Wunsch.
Sicherheit vor Kontrollen: Die Privacy-Richtlinien sollten so umgesetzte werden, dass Sie einer unabhängigen Überprüfung der Aufsichtsbehörden jederzeit standhalten?

Proaktives Handeln: Alle Mitarbeiter:innen sollten so geschult werden, dass Sie Datenschutzrisiken frühzeitig erkennen können?

Fazit

Zusammenfassend bleibt zu sagen, dass sowohl Privacy by Design als auch Privacy by Default seit dem Inkrafttreten der DSGVO verpflichtend für alle Unternehmen in Europa sind. Zusätzlich fordern Unternehmen, welche Ihre zukünftigen Kunden sein könnten, im Einkaufsprozess genau diese Umsetzung der DSGVO. Somit sind diese Maßnahmen unabdingbar, um überhaupt am Markt erfolgreich teilnehmen zu können. Verankerung finden die beiden Verpflichtungen in Art. 25 DSGVO und bringen neben dem hohen Aufwand in der Umsetzung, z.B. einem höheren Entwicklungsaufwand bei Software, auch eine große Anzahl an Vorteilen für Unternehmen sowie Nutzer:innen. Darüber hinaus sollte stets bedacht werden, dass es bei einer Nichteinhaltung der Vorschriften zu hohen Bußgeldern kommen kann. Positiv gilt jedoch zu verzeichnen, dass sich durch eine Einhaltung der Norm eine deutliche Stärkung der Kundentreue entwickeln kann.

Nils Möllers

Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.

Akzeptieren
Name	YouTube
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Youtube zu Marketingzwecken. Die Daten werden an einen Server in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Smartlook
Anbieter	Smartsupp.com s.r.o.
Zweck	Dieses Tool erfasst Bewegungen auf den beobachteten Webseiten in sog. Heatmaps. Damit können wir anonymisiert erkennen, wo Besucher klicken und wie weit sie scrollen. Dadurch können wir unsere Webseite besser und kundenfreundlicher gestalten.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.smartlook.com/de/privacy

Akzeptieren
Name	LinkedIn
Anbieter	LinkedIn Corporation
Zweck	LinkedIn Analytics verwendet „Cookies“, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. LinkedIn nutzt diese Informationen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.linkedin.com/legal/privacy-policy

Akzeptieren
Name	Cloudflare
Anbieter	CloudFlare Inc.
Zweck	Der Betreiber dieser Web-Seite nutzt die Funktionen von CloudFlare. Anbieter ist die CloudFlare, Inc. 665 3rd St. 200, San Francisco, CA 94107, USA. CloudFlare bietet ein sog. weltweit verteiltes Content Delivery Network mit DNS an. Die personenbezogenen Daten werden auf Grundlage des Art. 46 DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.cloudflare.com/de-de/gdpr/introduction/

Akzeptieren
Name	hellotrust
Anbieter	Keyed GmbH
Zweck	hellotrust speichert den Zustimmungsstatus des Benutzers für Cookies auf der aktuellen Domain.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://hellotrust.de/datenschutz