Perspektiven

Top Ten der DSGVO, #6: Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

Die Formalisierung einer guten Idee

Die Datenschutz-Grundverordnung (DSGVO) verändert das europäische Datenschutzrecht erheblich. Eine dieser Änderungen ist die Einführung der Begriffe «Datenschutz durch Technikgestaltung» und «Datenschutz durch datenschutzfreundliche Voreinstellungen». Obwohl diese Begriffe als neue Bestimmungen in die DSGVO Eingang gefunden haben, sind sie nicht neu. Die Beachtung des Datenschutzes vom Anfang des Entwicklungsprozesses an ist wesentlich für eine erfolgreiche Umsetzung.

Autor: Shay Danon

Ein wesentlicher Teil der DSGVO

Datenschutz durch Technikgestaltung bedeutet, dass Organisationen den Datenschutz bereits in den ersten Planungsphasen und während des gesamten Entwicklungsprozesses derjenigen neuen Produkte, Prozesse oder Dienstleistungen berücksichtigen müssen, die die Verarbeitung bezogener Daten beinhalten. Datenschutz durch datenschutzfreundliche Voreinstellungen bedeutet, dass die Standardeinstellungen möglichst datenschutzfreundlich sein sollten für den Fall, dass ein System oder eine Dienstleistung einer natürlichen Person Wahlmöglichkeiten bietet, wie viele personenbezogene Daten sie mit Dritten teilen möchte. Obwohl der Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen unter der DSGVO zu einer neuen Gesetzesbestimmung wird, sind die Begriffe nicht neu. Die Beachtung des Datenschutzes ab dem Beginn des Entwicklungsprozesses ist wesentlich für eine erfolgreiche Umsetzung.

Erhöhte Effizienz durch Berücksichtigung des Datenschutzes im Voraus

Die gegenwärtige Richtlinie sieht bereits jetzt vor, dass Verantwortliche entsprechende technische und organisatorische Massnahmen zu setzen haben, um Daten vor unrechtmässiger Verarbeitung zu schützen. Hier bleibt jedoch potentiell Spielraum bestehen, Datenschutzüberlegungen lediglich zu einem Nebengedanken im Entwicklungsprozess zu machen. Die DSGVO schreibt Organisationen vor, den Datenschutz bereits im frühesten Stadium zu berücksichtigen. Der Datenschutz muss eines der Hauptelemente eines neuen Produkts oder einer neuen Dienstleistung und nicht nur ein Sahnehäubchen sein, mit dem das Ganze «aufgehübscht» wird. Das mag komplex klingen, ist in Wahrheit aber einfacher als Datenschutzüberlegungen erst am Ende eines Prozesses zu berücksichtigen. Wenn man im Voraus einplant, welche der personenbezogenen Daten für welchen Zweck und wie verwendet werden sollen, verringert sich die Wahrscheinlichkeit, dass man in einem späteren Stadium entdeckt, dass die Integration des Datenschutzes eine technologische Herausforderung, teuer oder sogar unmöglich ist.

Datenschutz durch Technikgestaltung macht den Entwicklungsprozess daher effizienter. Zu wissen, welche Daten verwendet werden sollen, und den betroffenen Personen mittels datenschutzfreundlicher Voreinstellungen eine Wahlmöglichkeit zu bieten wie ihre Daten verwendet werden sollen, erleichtert die Transparenz gegenüber diesen betroffenen Personen. Und Transparenz ist entscheidend, wenn es darum geht, das Vertrauen der betroffenen Personen zu gewinnen, dass zur Offenlegung ihrer personenbezogenen Daten führt. In anderen Worten: Die Anwendung von Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen ist schlicht und einfach eine gute Idee. Deshalb haben viele Organisationen diese Konzepte bereits in ihre Entwicklungsprozesse eingebaut.

Wo soll mit der Integration dieser Konzepte in den Planungsprozess begonnen werden?

Um Datenschutz in den Planungsprozess zu integrieren, müssen verschiedene Aspekte berücksichtigt werden.

1. Einhaltung rechtlicher Grenzen und Rechenschaftspflicht

Gemäss DSGVO sind Organisationen nicht nur für die Einhaltung von Datenschutzgrundsätzen verantwortlich, sondern sie müssen auch in der Lage sein, deren Einhaltung nachzuweisen. Eine Datenschutzstrategie ist von entscheidender Bedeutung, um bereits zu Beginn des Entwicklungsprozesses Entscheidungen hinsichtlich der Datenschutzeigenschaften Ihres neuen Services oder Ihres neuen Produkts zu treffen. Informieren Sie sich im Voraus, ob die Idee im Rahmen der rechtlichen Grenzen umgesetzt werden kann. Ein gutes Instrument dazu ist die Durchführung eines Privacy Impact Assessment (PIA). Ein PIA hilft Ihnen, Datenschutzrisiken innerhalb Ihrer Neuplanung zu identifizieren. Vergessen Sie nicht, Ihre PIA-Erkenntnisse aufzubewahren. Dies ermöglicht es Ihnen zu einem späteren Zeitpunkt, die grundsätzlichen Überlegungen hinter bestimmten Entscheidungen nachzuweisen.

2. Die Ethik nicht vergessen

Die ethischen Aspekte des Konzepts müssen ebenfalls frühzeitig berücksichtigt werden. Eine Organisation sollte entscheiden, wie transparent sie ihre Datenverarbeitung gestalten möchte und inwieweit sie betroffene Personen einzubinden beabsichtigt. Eine hilfreiche Frage in diesem Zusammenhang lautet: Würden Sie das Produkt oder die Dienstleistung selbst kaufen bzw. nutzen?

3. Kommunikation ist entscheidend

Die Kommunikation mit betroffenen Personen ist in den ersten Planungsphasen und während des gesamten Entwicklungsprozesses sehr wichtig. Die Kommunikationslinien müssen auch dann klar sein, wenn nicht alles nach Plan verläuft. Betroffene Personen müssen wissen, an wen sie sich wenden können, wenn sie mehr über die Verarbeitung ihrer personenbezogenen Daten erfahren wollen und wenn sie erfahren möchten, wie sie ihre Rechte ausüben können.

4. Sicherheit, Qualität und Widerruf von Daten

Natürlich ist es auch wichtig, darüber nachzudenken, welche Sicherheitsmassnahmen adäquat sind, wie die Qualität der Daten garantiert werden kann und was mit den Daten geschehen soll, wenn das Produkt oder die Dienstleistung vom Markt genommen wird.

Implementierung 

Eine erfolgreiche Implementierung des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen verlangt, dass Mitarbeitende – insbesondere jene, die an der Entwicklung neuer Produkte und Dienstleistungen beteiligt sind – über ausreichendes Datenschutzgrundwissen verfügen. Klare Richtlinien, Vorgaben und Arbeitsanweisungen betreffend den Datenschutz sollten entwickelt werden, und ein/e Datenschutzspezialist/in sollte verfügbar sein, um bei der Umsetzung dieser Anforderungen behilflich zu sein. Die Entwicklungsmethode, die innerhalb der Organisation verwendet wird, muss berücksichtigt werden, um die Konzepte über den gesamten Entwicklungsprozess hinweg anzuwenden. Dies ermöglicht es den Entwicklungsteams, in den relevanten Phasen entsprechende Massnahmen zu treffen. Letztendlich gilt, dass ein Design nach seiner Fertigstellung von der Organisation angenommen und während seiner gesamten Lebensdauer überwacht werden muss.

Hat der Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen Nachteile?

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen anzuordnen, ist die Formalisierung einer guten Idee. Die DSGVO ist bestrebt, betroffenen Personen mehr Befugnisse über ihre personenbezogenen Daten einzuräumen. Die Umsetzung des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen ist eindeutig ein Schritt in diese Richtung. Die datenschutzfreundlichste Option als Standardeinstellung anzubieten überträgt betroffenen Personen die Entscheidungsbefugnis darüber, welche Teile ihre personenbezogenen Daten verwendet werden dürfen und welche nicht. Die Integration des Datenschutzes durch Technikgestaltung in den Entwicklungsprozess ist die einzige Möglichkeit, den Datenschutz erfolgreich umzusetzen. Organisationen bieten diese Konzepte die Chance, die Effizienz zu erhöhen und das Vertrauen betroffener Personen zu gewinnen. 

Fanden Sie diese Seite hilfreich?