Die Begriffe Privacy by Design and Default oder Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen sind in der Datenschutzwelt allgegenwärtig. Über die Bedeutung der Begriffe und die sich daraus ergebenden Pflichten wissen jedoch nur die Wenigsten Bescheid. Was genau hinter Privacy by Design and Default steckt, verrät Ihnen dieser Beitrag.
Der Inhalt im Überblick
- Woher kommt der Begriff Privacy by Design?
- Was ist die Definition von Privacy by Design nach der DSGVO?
- Was ist die Definition von Privacy by Default nach der DSGVO?
- Welche 7 Konzepte stecken hinter Privacy by Design und Privacy by Default?
- Datenschutz durch Technikgestaltung verpflichtet nur Verantwortliche
- Wie lässt sich Datenschutz durch Technikgestaltung / datenschutzfreundliche Voreinstellungen umsetzen?
- Bußgelder für Verstöße gegen Privacy by Design/ Default
- Privacy by Design and Default – Kernbestandteile einer guten Datenschutzstrategie
Woher kommt der Begriff Privacy by Design?
Technik basierter Datenschutz bzw. datenschutzfreundliche Technikgestaltung ist keine neue Idee. Das Konzept wird auf internationaler Ebene seit den 1970er Jahren diskutiert. Ab 1995 prägten die Datenschutzbeauftragten der Niederlande und Kanadas mit der Veröffentlichung „The Path to Anonymity“ den Begriff der „Privacy-Enhancing Technologies“. Sie forderten, dass die Rechte und Freiheiten der späteren Nutzer bei der Technikgestaltung verstärkt Beachtung finden. So gewann das Thema in Datenschutzkreisen an Relevanz. Auf internationaler Ebene setzte sich mit der Zeit der Begriff Privacy by Design durch.
Trotz internationaler Bestrebungen tauchte ein starker technischer Datenschutz in den darauffolgenden Jahren kaum in Gesetzen auf. In einigen Ländern gab es zwar rechtlich verbindliche Regelungen zum technischen Datenschutz wie z.B. § 9 BDSG a.F. und seine Anlage in Deutschland. Allerdings mangelte es oft an Sanktionsmöglichkeiten bei Nichteinhaltung der gesetzlichen Vorgaben (vgl. § 43 BDSG a.F.). Mit der DSGVO änderte sich das europaweit. Unternehmen sollten das Thema unbedingt ernst nehmen, denn an Sanktionen mangelt es mittlerweile nicht mehr. Die Aufsichtsbehörden verhängten bei solchen Verstößen bereits Bußgelder in Millionenhöhe.
Was ist die Definition von Privacy by Design nach der DSGVO?
Diese Geschichte steckt hinter dem Begriff Privacy by Design und er wird heute noch oft Synonym für die Vorgaben des Art. 25 DSGVO verwendet. Dieser ist aber mit Data protection by Design überschrieben, also „Datenschutz durch Technikgestaltung“. Während man in früheren Entwurfsfassungen der DSGVO noch beide Begriffe findet, scheint man in der finalen Fassung bewusst auf die Begriffe Privacy oder Privatsphäre verzichtet haben, um die Regelungen der DSGVO von dem internationalen Konzept abzugrenzen.
Datenschutz durch Technikgestaltung
Bei der Entwicklung einer Software oder Hardware, die personenbezogene Daten verarbeitet, sollte auch der Datenschutz beachtet werden. Technische und organisatorische Maßnahmen spielen dabei schon im Entwicklungsstadium von Software und Hardware eine maßgebliche Rolle. Der technische Datenschutz verfolgt vor allem das Ziel, Nutzer vor Risiken für ihre Rechte und Freiheiten zu schützen, ohne dass diese selbst aktiv werden müssen. Bei der Programmierung von Programmen und Anwendungen gelten also ebenso Datenschutzstandards wie bei der späteren Nutzung. Der Datenschutz durch Technikgestaltung bietet jedoch nicht nur für Nutzer Vorteile, sondern auch Chancen für Unternehmen. Wenn es Unternehmen gelingt, die Vorgaben aus Art. 25 Abs. 1 DSGVO umfassend umzusetzen, sollten sie das auch durch eine Zertifizierung z. B. mit der ISO 27001 nach außen tragen.
Beispiele für Privacy by Design / Datenschutz durch Technikgestaltung
Der Grundsatz Privacy by Design beschränkt sich aber nicht nur auf die Softwareentwicklung, sondern kann bspw. auch bei der Gestaltung von Webseiten relevant sein. Die Datenschutzerklärung muss transparent sein. Dafür sollte die Erklärung Links zu weitergehenden Informationen enthalten. Besonders wichtige Informationen sollten hervorgehoben werden. Die Datenschutzerklärung darf für die betroffenen Personen nicht schwer zugänglich sein. Deshalb sollte man sie auch auf Unterseiten aufrufen können.
Beim Thema Cookies müssen Webseitenbetreiber Privacy by Design ebenfalls beachten. Im Sinne der Datenminimierung sollten man möglichst wenige nicht technisch notwendige Cookies auf der Website einsetzen.
Der Grundsatz der Datenminimierung spielt auch bei der Gestaltung von Bestellvorgängen bei Onlineshops eine Rolle. Shopbetreiber sollten Daten, die nicht für den Bestellvorgang erforderlich sind, nur mit einer vorherigen Einwilligung des Kunden verarbeiten. Die Daten sollten zudem für den Nutzer als optional gekennzeichnet sein.
Was ist die Definition von Privacy by Default nach der DSGVO?
Das Prinzip Privacy by Default oder Data Protection by Default beschreibt nichts anderes als datenschutzfreundliche Voreinstellungen, die dem Schutz der Privatsphäre von Nutzern dienen. Nach dem Grundgedanken sollen insbesondere die Nutzer geschützt werden, die weniger technikaffin sind und z.B. dadurch nicht geneigt sind, die datenschutzrechtlichen Einstellungen ihren Wünschen entsprechend anzupassen. Die Möglichkeit, dass Nutzer die Einstellungen individuell anpassen, ist durch Privacy by Default nicht ausgeschlossen. Der Grundsatz ist in Art. 25 Abs. 2 DSGVO geregelt:
„Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. (…)“
Beispiele für Privacy by Default
Privacy by Default kann in der Praxis in unterschiedlichen Zusammenhängen auftauchen.
Im Rahmen von einem Opt-in können Nutzer selbst entscheiden, ob sie einer nicht notwendigen Datenverarbeitung zustimmen wollen. Nutzer sollten die Möglichkeit haben, die Verarbeitungszwecke individuell zu bestätigen oder abzulehnen.
Wenn Social-Media-Plattformen sich an Privacy by Default halten, sollte sich der User nach der Registrierung keine Gedanken um seinen Datenschutz machen müssen. Der Zugriff auf Beiträge und Profile sollte in den Voreinstellungen stark eingeschränkt sein. Plattformen sollten den Zugriff von Apps auf das Nutzerkonto bzw. Nutzerprofil ebenfalls automatisch beschränken.
Welche 7 Konzepte stecken hinter Privacy by Design und Privacy by Default?
Die Umsetzung von Privacy by Design and Default ist leichter, wenn man einige Prinzipien beachtet.
- Proaktiv
Unternehmen sollten Datenschutz vorausschauend angehen und potenzielle Risiken vorhersehen, bevor es zu spät ist. Abwarten ist keine Option. Das Konzept gilt nicht nur für die Gestaltung von Websites und Systemen, sondern kann auch bei der Gestaltung einer entsprechenden Unternehmenskultur herangezogen werden. - Datenschutz als Voreinstellung
Jedes System, jede Dienstleistung und jede Geschäftspraxis sollte automatisch den Schutz von personenbezogenen Daten sicherstellen. - Datenschutz im Design
Unternehmen sollten den Datenschutz in die Gestaltung aller Systeme, Dienste, Produkte und Geschäftspraktiken integrieren. Man ist am Ziel angelangt, wenn der Schutz von personenbezogenen Daten ein fester und wesentlicher Bestandteil der Systeme und Dienste ist. - Datenschutz und Sicherheit gehen Hand in Hand
Datenschutz und IT-Sicherheit schließen sich nicht aus, sondern komplementieren einander. Ein voll umfänglicher Schutz der Privatsphäre ist nur möglich, wenn man Maßnahmen aus beiden Bereichen kombiniert. - Nutzer zentriert arbeiten
Bei der Umsetzung von Privacy by Design and Default sollte die Nutzerperspektive im Mittelpunkt stehen. - Datenschutz von Anfang bis Ende
Unternehmen sollten die hohen Sicherheitsstandards Stück für Stück auf den gesamten Lebenszyklus von Daten ausweiten. Personenbezogene Daten sollten Verantwortliche nicht nur datenschutzkonform erheben und speichern, sondern auch löschen bzw. anonymisieren, wenn sie ihren Zweck erfüllt haben. - Sichtbarkeit und Transparenz
Die ergriffenen Maßnahmen sollten für die Nutzer nachvollziehbar und überprüfbar sein.
Datenschutz durch Technikgestaltung verpflichtet nur Verantwortliche
Wer haftet denn nun für Verstöße gegen Art. 25 DSGVO? Diese Frage kann ganz klar beantwortet werden. Für Verstöße gegen Privacy by Design und Privacy by Default haftet der Verantwortliche. Also in der Regel das Unternehmen, welches ein System oder eine Website nutzt und nicht der Hersteller oder Anbieter. Diese sind nicht dazu verpflichtet, nur datenschutzkonforme Software auf dem europäischen Markt zu vertreiben. Eine Ausweitung des Anwendungsbereich des Art. 25 DSGVO dahingehend wurde zur Evaluierung der DSGVO aus Deutschland vorgeschlagen (S.10), wurde aber im Evaluationsbericht der EU-Kommission nicht berücksichtigt.
Im Fall von mangelhafter Software oder anderen fehlerhaften Anwendungen greifen je nach Vertragsgestaltung allerdings Gewährleistungsrechte. Die (nicht vorhandene) Haftung nach der DSGVO hat damit aber nichts zu tun.
Wie lässt sich Datenschutz durch Technikgestaltung / datenschutzfreundliche Voreinstellungen umsetzen?
Wie setzt man Privacy by Design und Privacy by Default effektiv um? Einen einheitlichen Lösungsweg gibt es dafür nicht. Das hat aber auch Vorteile! Unternehmen können die Implementierung von TOMs flexibel auf ihre individuelle Situation anpassen. Optimaler Weise wird der Prozess durch Datenschutzbeauftragte begleitet. Sie können Unternehmen in diesen Punkten an die Hand nehmen und gezielt unterstützen.
Ergreifung von TOM
Welche Toms sollte ich erreichen? So genau lässt sich das gar nicht sagen. Als Beispiel einer technischen und organisatorischen Maßnahme nennt Art. 25 Abs. 1 DSGVO die Pseudonymisierung. Diese ist in Art. 4 Nr. 5 DSGVO definiert.
Andere geeignete TOMs nennt Erwägungsgrund 78 nur ganz abstrakt:
„(…) Solche Maßnahmen könnten unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, der betroffenen Person ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen, und der Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern. (…)“
Konkreter wird der Gesetzgeber nicht. Für die Praxis ist allerdings ein Rückgriff auf Art. 32 DSGVO zur Orientierung hilfreich, der neben der Pseudonymisierung auch das Beispiel der Verschlüsselung nennt.
Bei der Wahl der Maßnahmen ist zugleich zu beachten, dass diese auch immer unter Berücksichtigung des Stands der Technik und der Implementierungskosten auszuwählen sind. Auch Art, Umfang, Umstände und Zweck der Verarbeitung sind bei der Auswahl heranzuziehen und bei Art. 25 Abs. 1 DSGVO auch dem Risiko der Verarbeitung gegenüberzustellen. Durch die Verwendung von „Maßnahmen“ im Plural stellt der Gesetzgeber klar, dass mehrere parallel zu ergreifen sind und eine einzelne Handlung nicht ausreicht.
Handreichung des EDSA zu Privacy by Design und Privacy by Default
Für die konkrete Umsetzung gibt es zur Unterstützung eine Handreichung des Europäischen Datenschutzausschuss (EDSA), die „Guidelines 4/2019 on Article 25 Data Protection by Design and by Default“. Die Inhalte haben wir in einem Beitrag zusammengefasst.
Bußgelder für Verstöße gegen Privacy by Design/ Default
Die Aufsichtsbehörden verhängen fleißig Bußgelder wegen Verstößen gegen Art. 25 DSGVO. In Berlin speicherte die Deutsche Wohnen sensible Mieterdaten in einem System, welches keine Möglichkeit zur Löschung vorsah und kassierte 2019 dafür ein Bußgeld in Höhe von 14,5 Millionen Euro. In Italien verwendete ein Essenslieferant ebenfalls ein datenschutzrechtlich bedenkliches System und musste 2021 ein Bußgeld in Höhe von 2,6 Millionen Euro zahlen.
Privacy by Design and Default – Kernbestandteile einer guten Datenschutzstrategie
Mit Privacy by Design and Default wird man beim Thema Datenschutz zwangsläufig konfrontiert. Wichtig ist, dass die datenschutzkonforme technische Gestaltung und die entsprechenden Voreinstellungen fest in der Unternehmenskultur integriert sind und automatisch umgesetzt werden. Bußgelder kann man so vorausschauend vermeiden!