GDPR Top Ten: Data Protection Authority enforcement methods

Perspectives

Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

Die DSGVO ändert die europäischen Datenschutzbestimmungen erheblich. Die Einführung der Konzepte "Privacy by Design" und "Privacy by Default" sind zwei dieser Änderungen.

Wesentlicher Teil der DSGVO

Die Datenschutz-Grundverordnung ändert die europäischen Datenschutzbestimmungen erheblich. Die Einführung der Konzepte "Privacy by Design" und "Privacy by Default" sind zwei dieser Änderungen. „Privacy by Design“ besagt, dass Datenschutzanforderungen in der Konzeption von Produkten, Prozessen oder Diensten berücksichtigt werden und über den fortlaufenden Betrieb sichergestellt werden müssen. „Privacy by Default“ bedeutet, dass Systeme und Dienste so voreingestellt sein müssen, dass nur personenbezogene Daten erhoben und verarbeitet werden, die unbedingt für den jeweiligen Verarbeitungszweck erforderlich sind. Darüber hinaus muss über die Voreinstellungen sichergestellt werden, dass personenbezogene Daten nicht einer unbestimmten Anzahl von Personen zugänglich gemacht werden (z.B. Einschränkung der Sichtbarkeit von Profilen). Obwohl die Konzepte „Privacy by Design“ und „Privacy by Default“ mit der DSGVO erstmalig in das europäische Datenschutzrecht Einzug halten, sind diese nicht gänzlich neu. So wurden unter anderem von der kanadischen Datenschutzaufsichtsbehörde bereits vor einiger Zeit sieben fundamentale „Privacy by Design“-Prinzipien für eine faire Verarbeitung personenbezogener Daten beschrieben.

Effizienzsteigerung durch vorausschauendes Datenschutzdenken

Bereits nach dem aktuell geltenden Rechtsrahmen des Bundesdatenschutzgesetzes (BDSG) müssen die für die Datenverarbeitung Verantwortlichen geeignete technische und organisatorische Maßnahmen ergreifen, um personenbezogene Daten vor einer rechtswidrigen Verarbeitung zu schützen. In der Praxis wurde das Thema Datenschutz in der Konzeption von neuen Anwendungen und Produkten jedoch oft vernachlässigt. Genau dies möchte die DSGVO künftig mit „Privacy by Design“ verhindern. Die DSGVO verlangt von Organisationen, dass der Schutz von Betroffenen bereits zum frühestmöglichen Zeitpunkt berücksichtigt wird. Es muss daher ein proaktiver statt reaktiver Ansatz in Bezug auf das Thema Datenschutz verfolgt werden. In der Gesamtbetrachtung ist die Berücksichtigung von Datenschutzanforderungen in der Konzeption effizienter als die nachträgliche Umsetzung nach Fertigstellung eines Produkts oder eines Dienstes. Denken Sie im Voraus darüber nach, welche personenbezogenen Daten Sie nutzen möchten, zu welchem Zweck diese verarbeitet werden sollen und ob Sie für diese Verarbeitung überhaupt eine Rechtsgrundlage haben. Dadurch wird das Risiko reduziert, erst zu spät zu erkennen, dass die Einhaltung des Datenschutzes bei Verarbeitungen technologisch zu anspruchsvoll, teuer oder gar unmöglich ist. Kurzum: Die Anwendung von „Privacy by Design“ verhindert aufwendige nachträgliche Anpassungen von Anwendungen.

Datenschutz in die Konzeption einbetten: Wo sollten Sie angefangen?

Um den Datenschutz in die Konzeption des Entwicklungsprozesses einzubetten, müssen verschiedene Aspekte berücksichtigt werden:

  • Identifikation aller relevanter Veränderungsprozesse

    In Organisationen gibt es in der Regel eine Vielzahl von unterschiedlichen Veränderungsprozessen, welche Auswirkungen auf bestehende Produkte und Dienste haben bzw. neue Produkte und Dienste einführen. Diese Prozesse sind sowohl im Bereich der IT-Entwicklung, dem IT-Betrieb, als auch bei den Fachabteilungen im Anforderungsmanagement zu finden. Ziel ist es, diese Prozesse zu identifizieren, um sicherzustellen, dass die Konzepte „Privacy by Design“ und „Privacy by Default“ bei jeder Änderung und Neuentwicklung von Produkten und Diensten berücksichtigt werden.
  • Berücksichtigung der Rechenschaftspflicht

    Im Rahmen der DSGVO wird die Rechenschaftspflicht zur Einhaltung der datenschutzrechtlichen Anforderungen eingeführt. Das bedeutet, dass es Nachweise für alle Tätigkeiten im Zusammenhang mit der Erfüllung der Verordnung geben muss. Die Verankerung von „Privacy by Design“ und „Privacy by Default“ in den Veränderungsprozessen sollte daher explizit in Richtlinien und in den Prozessdurchläufen dokumentiert werden.
  • Risikoorientierte Umsetzung von Maßnahmen

    Die Maßnahmen, welche über das „Privacy by Design“ Prinzip in der Konzeption eingeplant werden sollen, müssen aus einer Risikobetrachtung abgeleitet werden. Wichtig ist, diese Risikobetrachtung aus Sicht des Betroffenen durchzuführen. Da eine Risikobetrachtung auch in den Prozessen für die Datenschutz-Folgenabschätzungen und die Umsetzung geeigneter technischer und organisatorischer Maßnahmen gefordert wird, sollte hierfür ein integrierter Ansatz verfolgt werden.

So gelingt die Implementierung

Die erfolgreiche Implementierung von „Privacy by Design“ und „Privacy by Default“ setzt voraus, dass Mitarbeiter - insbesondere diejenigen, die an der Entwicklung neuer Produkte und Diensten beteiligt sind - über grundlegende Kenntnisse zum Datenschutz verfügen. Dazu müssen die Mitarbeiter entsprechend geschult werden. Es sollten weiterhin klare Richtlinien, Arbeitsanweisungen und konkrete Checklisten in Bezug auf die Datenschutzanforderungen in der Produkt- und Diensteentwicklung bereitgestellt werden. Darüber hinaus sollte die Unterstützung durch einen Datenschutzexperten in den Prozessen sichergestellt und bei der Einführung auf eine passgenaue Lösung zu bestehenden Entwicklungsmethoden (z.B. Wasserfall / Agil) geachtet werden.

„Privacy by Design“ und „Privacy by Default“: Gibt es Nachteile?

Die stringente Umsetzung von „Privacy by Design“ und „Privacy by Default“ wäre auch bereits vor der DSGVO sinnvoll gewesen, um Datenschutzanforderungen verbindlich als integralen Bestandteil in Produkten und Diensten umzusetzen. In der Vergangenheit wurde jedoch oft die Notwendigkeit nicht gesehen, die Prozesse dahingehend anzupassen. Datenschutzkonformität von Produkten und Diensten wird jedoch ein immer wichtigeres Qualitätsmerkmal in der Wahrnehmung von Kunden wahrgenommen. Hinzu kommen die verschärften Bußgeldvorschriften der DSGVO bei Verstößen gegen die datenschutzrechtlichen Vorgaben. Die Umsetzung von „Privacy by Design“ und „Privacy by Default“ ist somit auch aus unternehmerischer Sicht eine sinnvolle Möglichkeit, Datenschutz erfolgreich in Produkte und Dienste einzubetten um dadurch kostenintensive Anpassungen an bestehenden Produkten zu vermeiden. Weiterhin kann dadurch wirksam etwaigen Reputationsverlusten vorgebeugt werden, welche durch Datenpannen und datenschutzrechtlich bedenklichen Datenverarbeitungen drohen.

Interesse an weiteren Artikeln der Serie? Die weiteren Artikel finden Sie auf der Hauptseite des Centers for Data Privacy.