Privacy by Design und Privacy by Default sind wichtige Grundsätze der Datenschutz-Grundverordnung (DSGVO), die darauf abzielen, den Schutz personenbezogener Daten in den Design- und Standard-Einstellungen von Systemen und Technologien zu gewährleisten. Über die Bedeutung der Begriffe und die sich daraus ergebenden Pflichten wissen jedoch nur die Wenigsten Bescheid.
Privacy by Design und Privacy by Default werden beide in Art. 25 DSGVO definiert. Was genau dahinter steckt, verrät Ihnen dieser Beitrag. Darüber hinaus sehen wir uns Vorteile dieser beiden Konzepte an. Im Anschluss finden Sie eine Checkliste, die Ihnen hilft eine Bestandsaufnahme im Hinblick auf die DSGVO durchzuführen.
In Art. 25 Abs. 1 DSGVO ist von Datenschutz durch Technikgestaltung die Rede. Privacy by Design bedeutet, dass Datenschutzaspekte bereits in der Entwurfsphase von Systemen und Technologien berücksichtigt werden sollten. Es soll sichergestellt werden, dass personenbezogene Daten nur dann erhoben, verarbeitet und genutzt werden, wenn dies für den vorgesehenen Zweck unbedingt erforderlich ist.
Datenschutz- und Sicherheitsmaßnahmen sollten bereits in die Architektur und die Funktionalität eines Systems integriert werden, um sicherzustellen, dass die Einhaltung der Datenschutzvorschriften von Anfang an gewährleistet ist.
Privacy by Design betrifft daher vor allem die Softwareentwicklung und kann z.B. mittels entsprechender technischer und organisatorischer Maßnahmen (TOM) (wie zum Beispiel Pseudonymisierung oder Anonymisierung) schon im Entwicklungsstadium umgesetzt werden.
Privacy by Design ist allerdings nicht nur auf die Softwareentwicklung beschränkt, sondern kann auch bei der Gestaltung von Webseiten relevant sein. Eine transparente Datenschutzerklärung ist dabei besonders wichtig. Hierfür sollte die Erklärung Links zu weiterführenden Informationen enthalten und wichtige Informationen hervorheben. Zudem sollte die Datenschutzerklärung leicht zugänglich sein, indem sie auch auf Unterseiten aufgerufen werden kann.
Auch beim Thema Cookies müssen Webseitenbetreiber den Grundsatz von Privacy by Design beachten. Um die Datenminimierung zu gewährleisten, sollten möglichst wenige nicht technisch notwendige Cookies auf der Website eingesetzt werden.
Beim Gestalten von Bestellvorgängen in Onlineshops spielt der Grundsatz der Datenminimierung ebenfalls eine Rolle. Shopbetreiber:innen sollten Daten, die nicht für den Bestellvorgang erforderlich sind, nur mit vorheriger Einwilligung von Kund:innen verarbeiten. Zudem sollten die Daten für den:die Nutzer:in als optional gekennzeichnet sein.
Von diesem Begriff handelt Art. 25 Abs. 2 DSGVO. Privacy by Default bezieht sich darauf, dass die höchstmögliche Datenschutzstufe standardmäßig in einem System oder einer Technologie eingestellt sein sollte. Das bedeutet, dass beispielsweise nur diejenigen personenbezogenen Daten erhoben werden sollten, die für den vorgesehenen Zweck notwendig sind, und dass standardmäßig die höchsten Datenschutzstandards eingestellt werden sollten.
Die Idee dahinter ist, dass Dienst-, System- oder Geräte-Voreinstellungen (Werkseinstellungen) so umgesetzt werden, dass sie sich möglichst datenschutzfreundlich gestalten. Dadurch sollen ebenso Nutzer:innen geschützt werden, die nicht sonderlich technik-versiert sind und daher selbst keine Datenschutzeinstellungen nach ihren Wünschen verändern können.
Privacy by Default kann in unterschiedlichen Zusammenhängen in der Praxis relevant sein. Im Rahmen eines Opt-ins sollten Nutzer:innen die Möglichkeit haben, selbst zu entscheiden, ob sie einer nicht notwendigen Datenverarbeitung zustimmen wollen. Dabei sollten die Verarbeitungszwecke individuell bestätigt oder abgelehnt werden können.
Wenn Social-Media-Plattformen Privacy by Default beachten, sollten Nutzer:innen sich nach der Registrierung keine Gedanken um ihren Datenschutz machen müssen. Der Zugriff auf Beiträge und Profile sollte in den Voreinstellungen stark eingeschränkt sein. Zudem sollten Plattformen den Zugriff von Apps auf das Nutzer:innenkonto bzw. Nutzer:innenprofil automatisch beschränken.
Beide Grundsätze haben zum Ziel, den Datenschutz zu stärken und sicherzustellen, dass personenbezogene Daten angemessen geschützt werden, sowohl durch die Architektur und Funktionalität von Systemen als auch durch die voreingestellten Datenschutzoptionen.
Die beiden Grundsätze Privacy by Design und Privacy by Default sind für Unternehmen und Organisationen von großer Bedeutung, um die Daten betroffener Personen verantwortungsvoll zu sammeln und zu verwalten. Wenn Sie sich dazu entscheiden, Daten zu sammeln, können Sie von vielen Vorteilen profitieren:
Für eine datenschutzfreundliche Datensammlung sind die folgenden sieben Kriterien für Privacy by Design und Privacy by Default von entscheidender Bedeutung, die sowohl für Software Developer als auch Unternehmen gelten:
Sie wollen auf Open Source Lösungen setzen um Privacy by Design oder Privacy by Default in Ihrem Unternehmen zu implementieren und Daten transparent und DSGVO-konform verarbeiten? Nehmen Sie Kontakt mit uns auf!
Skalieren Sie Ihre IT-Infrastruktur mühelos und betreiben Sie Ihre Anwendungen schnell und sicher mit unseren cloudbasierten Technologielösungen.
Ihre Cloud Native Experten für zuverlässe IT-Infrastrukturlösungen und den automatisieren Betrieb von Open Source tools.