7 Grundsätze für Privacy by Design – Verbessern Sie Ihre Einhaltung des Datenschutzes

Privacy by Design verwenden, um eine bessere Einhaltung des Datenschutzes zu ermöglichen

Privacy by Design: Dies sind die sieben Prinzipien, die Ihnen die Einhaltung des Datenschutzes erleichtern werden, unabhängig davon, wo Sie auf der Welt geschäftlich tätig sind.

Datenschutzgesetze haben in den letzten Jahren immer mehr Schlagzeilen gemacht, und dieser Trend wird sich fortsetzen, da die Digitalisierung in fast allen Wirtschaftszweigen zu einem durchschlagenden Trend wird. Eine ebenso starke treibende Kraft, die dafür sorgen wird, dass der Datenschutz bei den Bemühungen der Unternehmen um die Einhaltung der Vorschriften und auf der Beobachtungsliste der Aufsichtsbehörden weiterhin einen hohen Stellenwert einnimmt, ist das zunehmende Bewusstsein der Betroffenen, d.h. von gewöhnlichen Menschen wie Ihnen und mir, über ihre Rechte gemäß den Datenschutzbestimmungen weltweit.

Da der Datenschutz zu einem globalen Trend wird, wächst natürlich auch die Zahl der Gesetze, die darauf abzielen, die Rechte und Pflichten in Bezug auf personenbezogene Daten zu kodifizieren. EU’s GDPR vor etwa einem Jahr den Trend gesetzt, gefolgt von der Indian Data Protection Bill (IDPB) wird voraussichtlich Indiens Datenschutzregime auf eine Wellenlänge mit Europa bringen. Kalifornien, der US-Bundesstaat mit der größten Wirtschaft, stimmte für ein neues Datenschutzregime, das CCPA, das darauf abzielt, kalifornischen Verbrauchern in Bezug auf ihre persönlichen Daten vergleichbare Rechte zu gewähren, wie sie die Europäer genießen. Nicht zuletzt kündigte China kürzlich an, dass es mit der Arbeit an seinem ersten rein auf den Datenschutz ausgerichteten Gesetz überhaupt begonnen hat, dem Personal Information Protection Law (PIPL). Fügt man zu diesen Spitzenreitern noch die Dutzenden von nationalen Rechtsordnungen hinzu, die ihre bestehenden Gesetze aktualisieren (z.B. Japan) oder zum ersten Mal Datenschutzgesetze einführen (z.B. Thailand), erhält man eine Regulierungslandschaft, die für Unternehmen, die in mehreren Regionen der Welt tätig sind, kein Kinderspiel ist.

Während der einzige sichere und solide Weg, glaubwürdige Datenschutzstandards zu erreichen, Einhaltungsprogramme sind, die sich mit den spezifischen Anforderungen aller Datenschutzregelungen befassen, die ein Unternehmen einzuhalten hat, je nachdem, wo und wem es seine Produkte und Dienstleistungen anbietet, gibt es sieben Grundprinzipien, die, wenn sie eingehalten werden, Ihren Bemühungen um die Einhaltung des Datenschutzes nur Gutes und keinen Schaden zufügen. Zusammenfassend als „privacy by design“ (oft als „PbD“ abgekürzt) bezeichnet, bilden diese sieben Grundregeln den Kern jedes Datenschutz-Rechtsrahmens, während viele dieser Gesetze tatsächlich Bestimmungen enthalten, die die Einhaltung dieser Datenschutz-Toolbox ausdrücklich vorschreiben.

7 Grundsätze des „Privacy by Design

Dies ist der ‚Septalog‘ von Privacy by Design:

1. Proaktiv statt reaktiv, vorbeugend statt heilend.

Ihre Datenschutzbemühungen sollten proaktiv und nicht reaktiv, vorbeugend und nicht behebend sein. Mit anderen Worten, ein solides Datenschutzprogramm sollte den Schutz der Privatsphäre zum Ziel haben und sich nicht nur darauf vorbereiten, den Schaden, der der Privatsphäre zugefügt wird, zu mildern.

2. Datenschutz als Standardeinstellung

Ihre Produkte und Dienstleistungen mit Datenschutz als Standardeinstellung (Privacy by Default) anbieten. Menschen dazu zu bringen, Ihnen unwissentlich ihre Daten zu geben, wird Ihnen auf Dauer nicht gut tun. Man braucht nur einen Bericht an eine Datenschutzbehörde, um alle Fehlverhalten einer Organisation im Zusammenhang mit der Datensammlung aufzudecken.

3. In das Design eingebettete Privatsphäre

Machen Sie ab sofort Datenschutzfunktionen bereits in der Konzeptphase zu einem integralen Bestandteil des Designprozesses jedes Ihrer Produkte und Dienstleistungen. Wenn Sie es sich nicht leisten können, Ihren bestehenden Produktkatalog en masse zu überprüfen, machen Sie die Überprüfung des Datenschutzes spätestens bei der nächsten Produktaktualisierung zur obersten Priorität.

4. Positive Summe, nicht Nullsumme

Volle Funktionalität – positive Summe, nicht Nullsumme. Sie sollten die Verbraucher nicht zwischen scheinbar widersprüchlichen Optionen wie Datenschutz oder Sicherheit wählen lassen. Diese beiden Ziele sind und müssen komplementär sein, und es ist die Pflicht einer Organisation, beides zum Funktionieren zu bringen. Wenn Sie diese Last der Wahl an Ihre Kunden weitergeben, werden Sie nicht weit kommen.

5. End-to-End-Sicherheit

Vollständiger Schutz über den gesamten Lebenszyklus. Privacy by Design bedeutet nicht, dass Ihre Verpflichtungen als datenerhebende Organisation enden, nur weil Sie die Privatsphäre als Standardeinstellung in der Standardversion Ihrer Produkte anbieten. Das rechtmäßige Sammeln von Daten geht Hand in Hand mit einem angemessenen Schutz der Daten, solange sie sich in Ihrem Besitz befinden, und ihrer sorgfältigen und sicheren Entsorgung, sobald Sie sie nicht mehr benötigen. Erhöhte Datenschutz- und Sicherheitseinstellungen sollten Sie als Datensammler und -besitzer definieren, und zwar vom ersten Moment an, in dem Sie in den Besitz der Daten von Personen gelangen, bis Sie diese sicher und unwiderruflich loswerden.

6. Offen lassen

Sichtbarkeit und Transparenz – halten Sie es offen. Seien Sie offen mit Ihren Kunden, indem Sie ihnen nicht nur versichern, dass Sie sich gut um ihre Daten kümmern, sondern ihnen auch erklären, wie Sie dies tun. Je transparenter Sie die genauen Anstrengungen, die Sie unternehmen, um Ihrem Wort zum Datenschutz gerecht zu werden, desto besser. Dies kann von den nachsichtigen Behandlungsorganisationen, die bei Datenverletzungen nachsichtiger geworden sind, leicht überprüft werden, solange sie offen darüber sprechen, was schief gelaufen ist und welche Anstrengungen sie unternommen haben, um den Unfall zu verhindern.

7. Benutzerzentriert bleiben

Respektieren Sie die Privatsphäre der Benutzer – halten Sie sie benutzerorientiert. Insgesamt sollte die Privatsphäre sichtbar, leicht verständlich und leicht zu verwalten und, was am wichtigsten ist, für den durchschnittlichen Benutzer leicht wiederherzustellen sein. Mit anderen Worten: Ihr Datenschutzprogramm wird nicht ausreichen, um eine Aufsichtsbehörde zu überzeugen, wenn es umfangreich, aber kompliziert ist. Raffinesse ist gut, aber sie sollte nicht Komplexität bedeuten; nicht alle Ihre Kunden sind Kontrollfreaks, die sich tief in Ihre Produkteinstellungen einarbeiten, um sicherzustellen, dass Sie gut auf ihre persönlichen Daten aufpassen, und das sollten sie auch nicht.

Xenofon Kontargyris is a lawyer specializing in data protection and IT law, particularly in cybersecurity and IT outsourcing. He holds a PhD from the Faculty of Law of the University of Hamburg (UHH) for writing a doctoral thesis on “IT Laws in the Era of Cloud-Computing; A Comparative Analysis between EU and US Law on the Case Study of Data Protection and Privacy” (2018, NOMOS Verlag). Xenofon is also a CIPP/E certified member of the International Association of Privacy Professionals (IAPP).

Die Kommentarfunktion ist geschlossen.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More

MoreThanDigital Newsletter
Subscribe
Join the #bethechange community
close-image