Privacy by Design & Privacy by Default unter der DSGVO

null

Privacy by Design und Privacy by Default sind wichtige Grundsätze der Datenschutz-Grundverordnung (DSGVO), die darauf abzielen, den Schutz personenbezogener Daten in den Design- und Standard-Einstellungen von Systemen und Technologien zu gewährleisten. Über die Bedeutung der Begriffe und die sich daraus ergebenden Pflichten wissen jedoch nur die Wenigsten Bescheid.

Privacy by Design und Privacy by Default werden beide in Art. 25 DSGVO definiert. Was genau dahinter steckt, verrät Ihnen dieser Beitrag. Darüber hinaus sehen wir uns Vorteile dieser beiden Konzepte an. Im Anschluss finden Sie eine Checkliste, die Ihnen hilft eine Bestandsaufnahme im Hinblick auf die DSGVO durchzuführen.

Was bedeutet Privacy by Design?

In Art. 25 Abs. 1 DSGVO ist von Datenschutz durch Technikgestaltung die Rede. Privacy by Design bedeutet, dass Datenschutzaspekte bereits in der Entwurfsphase von Systemen und Technologien berücksichtigt werden sollten. Es soll sichergestellt werden, dass personenbezogene Daten nur dann erhoben, verarbeitet und genutzt werden, wenn dies für den vorgesehenen Zweck unbedingt erforderlich ist.

Datenschutz- und Sicherheitsmaßnahmen sollten bereits in die Architektur und die Funktionalität eines Systems integriert werden, um sicherzustellen, dass die Einhaltung der Datenschutzvorschriften von Anfang an gewährleistet ist.

Privacy by Design Beispiele

Privacy by Design betrifft daher vor allem die Softwareentwicklung und kann z.B. mittels entsprechender technischer und organisatorischer Maßnahmen (TOM) (wie zum Beispiel Pseudonymisierung oder Anonymisierung) schon im Entwicklungsstadium umgesetzt werden.

Privacy by Design ist allerdings nicht nur auf die Softwareentwicklung beschränkt, sondern kann auch bei der Gestaltung von Webseiten relevant sein. Eine transparente Datenschutzerklärung ist dabei besonders wichtig. Hierfür sollte die Erklärung Links zu weiterführenden Informationen enthalten und wichtige Informationen hervorheben. Zudem sollte die Datenschutzerklärung leicht zugänglich sein, indem sie auch auf Unterseiten aufgerufen werden kann.

Auch beim Thema Cookies müssen Webseitenbetreiber den Grundsatz von Privacy by Design beachten. Um die Datenminimierung zu gewährleisten, sollten möglichst wenige nicht technisch notwendige Cookies auf der Website eingesetzt werden.

Beim Gestalten von Bestellvorgängen in Onlineshops spielt der Grundsatz der Datenminimierung ebenfalls eine Rolle. Shopbetreiber:innen sollten Daten, die nicht für den Bestellvorgang erforderlich sind, nur mit vorheriger Einwilligung von Kund:innen verarbeiten. Zudem sollten die Daten für den:die Nutzer:in als optional gekennzeichnet sein.

Was bedeutet Privacy by Default?

Von diesem Begriff handelt Art. 25 Abs. 2 DSGVO. Privacy by Default bezieht sich darauf, dass die höchstmögliche Datenschutzstufe standardmäßig in einem System oder einer Technologie eingestellt sein sollte. Das bedeutet, dass beispielsweise nur diejenigen personenbezogenen Daten erhoben werden sollten, die für den vorgesehenen Zweck notwendig sind, und dass standardmäßig die höchsten Datenschutzstandards eingestellt werden sollten.

Die Idee dahinter ist, dass Dienst-, System- oder Geräte-Voreinstellungen (Werkseinstellungen) so umgesetzt werden, dass sie sich möglichst datenschutzfreundlich gestalten. Dadurch sollen ebenso Nutzer:innen geschützt werden, die nicht sonderlich technik-versiert sind und daher selbst keine Datenschutzeinstellungen nach ihren Wünschen verändern können.

Privacy by Default Beispiele

Privacy by Default kann in unterschiedlichen Zusammenhängen in der Praxis relevant sein. Im Rahmen eines Opt-ins sollten Nutzer:innen die Möglichkeit haben, selbst zu entscheiden, ob sie einer nicht notwendigen Datenverarbeitung zustimmen wollen. Dabei sollten die Verarbeitungszwecke individuell bestätigt oder abgelehnt werden können.

Wenn Social-Media-Plattformen Privacy by Default beachten, sollten Nutzer:innen sich nach der Registrierung keine Gedanken um ihren Datenschutz machen müssen. Der Zugriff auf Beiträge und Profile sollte in den Voreinstellungen stark eingeschränkt sein. Zudem sollten Plattformen den Zugriff von Apps auf das Nutzer:innenkonto bzw. Nutzer:innenprofil automatisch beschränken.

Beide Grundsätze haben zum Ziel, den Datenschutz zu stärken und sicherzustellen, dass personenbezogene Daten angemessen geschützt werden, sowohl durch die Architektur und Funktionalität von Systemen als auch durch die voreingestellten Datenschutzoptionen.

Vorteile für Ihr Unternehmen

Die beiden Grundsätze Privacy by Design und Privacy by Default sind für Unternehmen und Organisationen von großer Bedeutung, um die Daten betroffener Personen verantwortungsvoll zu sammeln und zu verwalten. Wenn Sie sich dazu entscheiden, Daten zu sammeln, können Sie von vielen Vorteilen profitieren:

  • Sie erkennen potenzielle Datenschutzprobleme frühzeitig und können leichter darauf reagieren.
  • Sie erhöhen das Bewusstsein für Datenschutz und Datensicherheit in Ihrem Unternehmen.
  • Sie müssen die Daten nicht nachträglich anonymisieren, was Ihrer IT-Abteilung manuelle und zeitaufwändige Arbeit erspart.

Checkliste für Privacy by Design und Privacy by Default

Für eine datenschutzfreundliche Datensammlung sind die folgenden sieben Kriterien für Privacy by Design und Privacy by Default von entscheidender Bedeutung, die sowohl für Software Developer als auch Unternehmen gelten:

  • Proaktiv, statt reaktiv: Erkennen Sie mögliche Datenschutzrisiken frühzeitig und ergreifen Sie entsprechende Maßnahmen, um diese zu minimieren.
  • Datenschutz als Standard: Stellen Sie sicher, dass personenbezogene Daten in allen IT-Systemen automatisch geschützt werden und vermeiden Sie Korrekturmaßnahmen. Dies ist das Prinzip von Privacy by Default.
  • Datenschutz als Konzept: Planen Sie den Datenschutz bereits in die Strategie Ihres Unternehmens oder Ihrer Software ein. Dies ist das Prinzip von Privacy by Design.
  • Durchgängige Sicherheit: Schützen Sie personenbezogene Daten während ihrer gesamten Lebensdauer und gewähren Sie Nutzer*innen das Recht auf Löschung.
  • Datenresidenz: Achten Sie darauf, dass die Daten Ihrer Besucher*innen im Land verbleiben, in dem Sie sie sammeln.
  • Transparenz: Verarbeiten Sie nur Daten, die Ihren Geschäftszielen dienen und stellen Sie sicher, dass Ihre Prozesse einer unabhängigen Prüfung standhalten.
  • Respekt der Privatsphäre: Unterstützen Sie die individuellen Datenschutzinteressen Ihrer Nutzer*innen durch Datenschutzrichtlinien und -standards.

Sie wollen auf Open Source Lösungen setzen um Privacy by Design oder Privacy by Default in Ihrem Unternehmen zu implementieren und Daten transparent und DSGVO-konform verarbeiten? Nehmen Sie Kontakt mit uns auf!

Unsere Lösungen für zuverlässige und skalierbare Infrastruktur

Skalieren Sie Ihre IT-Infrastruktur mühelos und betreiben Sie Ihre Anwendungen schnell und sicher mit unseren cloudbasierten Technologielösungen.

Testen Sie Glasskube kostenlos

Ihre Cloud Native Experten für zuverlässe IT-Infrastrukturlösungen und den automatisieren Betrieb von Open Source tools.