Was ist Privacy by Design and Default? Betrifft Sie das?

Privacy by Design and Default oder Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen findet sich in Art. 25 der DSGVO. Doch was genau dahintersteckt, erklären wir Ihnen in diesem Beitrag.

Privacy by Design

Privacy by Design bedeutet Datenschutz durch Technikgestaltung und steht im Grunde für den Gedanken, dass sich Datenschutz am besten umsetzen lässt, wenn er schon bei datenverarbeitenden Vorgängen technisch eingebaut ist. Soft- und Hardware werden dabei von Grund auf so konzipiert und entwickelt, dass sie relevante Datenschutzmaßnahmen von Anfang an berücksichtigen.

Privacy by Default

Daneben gibt es die Privacy by Default, was Datenschutz durch datenschutzfreundliche Voreinstellungen bedeutet. Der Gedanke dahinter ist, dass weniger technikaffine Personen nicht mit den Einstellmöglichkeiten „überfordert“ werden sollen, sondern die datenschutzfreundlichsten Einstellungen bereits standardisiert eingestellt sind.

Privacy by Design soll also eine grundsätzlich datenschutzkonforme Entwicklung und Ausgestaltung der Soft- und Hardware garantieren, während Privacy by Default die Privatsphäre und die persönlichen Daten der Anwender mit Hilfe von geeigneten Voreinstellungen schützt.

Wie sollte man sowas umsetzen?

Doch welche Maßnahmen sollten Sie jetzt ergreifen, um dies auch wirksam umzusetzen? Hier hält sich die DSGVO bedeckt. Art. 25 Abs. 1 DSGVO spricht von „technische[n] und organisatorische[n] Maßnahmen – wie z.B. die Pseudonymisierung – die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen“. In Art. 32 DSGVO ist zudem noch von Verschlüsselung die Rede.

Denkbar sind auch Maßnahmen wie die Anonymisierung und die Nutzerauthentifizierung. Auch der Rückgriff auf Handlungsanweisungen wie beispielsweise die IT-Grundschutzkataloge des BSI können sinnvoll sein.

Am Wort Maßnahmen erkennen Sie aber bereits, dass der Gesetzgeber sich hier mehrere parallellaufende Maßnahmen vorstellt. Eine einzelne wird wohl nicht ausreichen. Ganz gleich welche Maßnahmen Sie ergreifen: Berücksichtigen Sie stets den aktuellen Stand der Technik. Art und Umfang der Maßnahme (und natürlich auch deren Implementierungskosten) sind dem Risiko der Verarbeitung gegenüberzustellen.

Wie gestalten Sie Ihre Software am besten?

Als Softwareentwickler sollten Sie sich an folgender Checkliste orientieren:

1. Erkennen Sie drohende Datenschutzrisiken frühzeitig und wenden diese ab.

2. Schützen Sie alle personenbezogenen Daten automatisch, ohne nachträglich erforderliche Korrekturmaßnahmen (Privacy by Default)

3. Integrieren Sie den Datenschutz in Ihre Software (Privacy by Design).

4. Datenschutz und -sicherheit gehen mit einer vollen Funktionsfähigkeit der Software einher. Keine Einbußen bei der Software für Anwender, wenn diese Datenschutz wollen!

5. Schützen Sie die Daten und schaffen Sie die Möglichkeit einer vollständigen Löschung, wenn Ihr Anwender dies wünscht.

6. Stellen Sie sicher, dass Ihre Maßnahmen einer unabhängigen Überprüfung jederzeit standhalten.

7. Stellen Sie die höchsten Datenschutzstandards an sich selbst und respektieren Sie die Privatsphäre der Anwender.

Wenn Sie sich an diese Punkte halten, dürften Sie eine gute Software auf den Markt bringen, die allen Vorschriften genügt und Ihren Kunden den besten Datenschutz liefert. Wenn Sie Datenschutz bereits in die Software integriert haben, wird es Ihnen leichter fallen, die Anforderungen der DSGVO zu erfüllen.

Ist Ihre Software datenschutzkonform?

Wenn Sie wissen wollen, ob Ihre Software datenschutzkonform arbeitet, stellen Sie sich folgende Fragen:

1. Speichert die Software nur das absolute Minimum an personenbezogenen Daten?

2. Verknüpft die Software sich mit Datenzentren außerhalb der EU?

3. Werde personenbezogene Daten pseudo- besser noch anonymisiert?

4. Werden Daten sicher verschlüsselt?

5. Können Speicherung und Verarbeitung der Daten von den Nutzern transparent nachvollzogen werden?

6. Kann der Datenschutzbeauftragte jederzeit eine Löschung, Übertragung oder Auskunft der personenbezogenen Daten durchführen?

Wenn Sie eine dieser Fragen mit Nein beantworten, sollten Sie womöglich nachbessern.

Fazit

Privacy by Design und Privacy by Default sind verpflichtend einzuhalten. Zwar bedeuten Sie einen höheren Aufwand, bieten Ihrem Unternehmen jedoch auch Vorteile, die Anforderungen der DSGVO zukünftig leichter zu erfüllen. Sie nehmen den Datenschutz Ihrer Kunden ernst und stärken somit das Vertrauen Ihrer Kunden in Ihr Unternehmen.