Was bedeutet Privacy by Design and Default?

Privacy by Design and Default soll in Zukunft Unternehmen dazu bewegen, den Datenschutz bereits in der Entwicklungs- oder Beschaffungsphase von Software grössere Beachtung zu schenken.

Die Datenschutzgrundverordnung (DSGVO/GDPR) verlangt in Art. 25 DSGVO, dass der Datenschutz bereits bei der technischen Umsetzung (Privacy by design) beachtet wird und dass datenschutzfreundliche Voreinstellungen (Privacy by default) implementiert werden. Diese Konzepte sind nicht neu, es bestand bis anhin aber keine gesetzliche Pflicht diese umzusetzen. Dies führt dazu, dass bereits bei der Entwicklung oder der Beschaffung von Software dem Datenschutz mehr Beachtung geschenkt werden muss und es sind bereits zu Beginn entsprechende technische und organisatorische Massnahmen zu planen und zu implementieren. Das Argument; «Die Software müsste nochmals neu entwickelt werden, wenn man den Datenschutz mit Funktion X umsetzen möchte» kann nicht mehr als Rechtfertigungsgrund vorgebracht werden, da diese Punkte bereits in der Entwicklungsphase hätten geprüft werden müssen.

Der Datenschutz kann bei einer Softwareentwicklung in Zukunft nicht mehr auf den Schluss eines Projekts verschoben werden. Eine datenschutzkonforme Umsetzung muss bereits frühzeitig bedacht werden.

Privacy by Design

Ein Privacy bei Design Konzept wurde bereits in den 90er Jahren von Ann Cavoukian entwickelt, wobei die Verwendung genau dieses Ansatzes von der DSGVO nicht verlangt wird. Das Unternehmen bleibt grundsätzlich frei in der Umsetzung. Im Kontext der DSGVO bedeutet Privacy by Design, dass dem Datenschutz bereits bei der Konzipierung und der Entwicklung von Systemen, Software oder Hardware Beachtung geschenkt werden muss. Es ist das Ziel, dass durch eine entsprechende Planung und die anschliessende Umsetzung die Datenerfassung und Datenverarbeitung auf das notwendige minimiert wird. Ausserdem soll durch sinnvolle Voreinstellungen sichergestellt werden, dass Personendaten nur für den jeweiligen Verarbeitungszweck erfasst werden.

Die sieben Grundprinzipien von Ann Cavoukian geben eine gute Übersicht wie die Gewährleistung des Datenschutzes erreicht werden kann.

  • Proaktiv, nicht reaktiv; als Vorbeugung und nicht als Abhilfe
  • Datenschutz als Standardeinstellung
  • Der Datenschutz ist in das Design eingebettet
  • Volle Funktionalität trotz Datenschutz – eine Positivsumme, keine Nullsumme
  • Durchgängige Sicherheit – Schutz während des gesamten Lebenszyklus
  • Sichtbarkeit und Transparenz– Für Offenheit sorgen
  • Die Wahrung der Privatsphäre der Nutzer –Für eine nutzerzentrierte Gestaltung sorgen

Bei der Umsetzung sollte zudem im Auge behalten werden, dass Privacy by Design nicht nur für die Entwicklung und Umsetzungsphase gilt, der Betrieb bzw. der ganze Lebenszyklus der Personendaten muss beachtet werden. Die Technologie entwickelt sich ständig weiter und somit muss auch der Datenschutz angepasst werden.

In einer App würde der Einsatz Privacy bei Design bspw. dazu führen, dass nicht bereits zu Beginn ein umfassender Zugriff auf das Gerät des Nutzers verlangt wird, sondern erst, wenn Geräteinformationen notwendig sind, um die entsprechende Funktion auszuführen. Der Zugriff auf den GPS Standort wird erst verlangt, wenn der Nutzer bspw. nach dem besten Café im näheren Umkreis seines Standorts sucht.

Im Ergebnis muss aufgezeigt werden können, dass die Datenschutz – Compliance bei der Entwicklung bereits berücksichtigt wurde und entsprechende Datenschutzrisiken reduziert wurden. Dies gilt es entsprechend zu dokumentieren, nur so kann später ein Nachweis gegenüber der Aufsichtsbehörde erbracht werden.

Umfassendere Informationen zum Thema Privacy by Design finden sich unter anderem im entsprechenden ENISA Bericht oder in den Publikationen von Ann Cavoukian.

Privacy by Default

Privacy by Default ist immer auch Teil von Privacy by Design, da dies ein wichtiges Element für einen nutzerfreundlichen Datenschutz darstellt. Es wird verlangt, dass datenschutzfreundliche Voreinstellungen geschaffen werden. Bei den Standardeinstellungen sollen nur die absolut notwendigen Daten erfasst werden und erst wenn die betroffene Person zusätzliche Funktionen nutzen möchte, werden auch die entsprechenden Personendaten erfasst (Opt-in anstelle von Opt-out). Bis anhin waren Opt-out Optionen für den durchschnittlichen Benutzer oft nicht einfach auffindbar und deshalb wurde von diesen Optionen oft kein Gebrauch gemacht. Privacy by Default soll daher dafür sorgen, dass betroffene Person nicht ungewollt ihre Daten teilt. Im Ergebnis soll dies zu einer Minimierung der geteilten Personendaten führen.

Umsetzung im Unternehmen

Die Umsetzung solcher Massnahmen ist für jedes System individuell zu prüfen, weshalb hier keine standardisierte Antwort gegeben werden kann. Neben dem Einsatz aktueller Sicherheitsstandards muss nun immer auch der Umfang, die Natur und der Zweck der Datenbearbeitung berücksichtigt werden. Sinnvoll ist sicherlich der Einsatz von Anonymisierungs- oder Pseudonymisierungs-Werkzeugen. Für die App Entwicklung kann zudem auf einen Leitfaden der britischen Aufsichtsbehörde sowie auf den ENISA Leitfaden verwiesen werden. Ausserdem ist allenfalls eine Zertifizierung nach Art. 42 DSGVO zu prüfen, um den Nachweis der Einhaltung des Datenschutzes zu erbringen.

Schlussendlich zwingt der Privacy by Design Ansatz alle Parteien zu einem interdisziplinären Arbeiten. Neben den IT-Fachleuten und den Betriebswirtschaftlern muss die Datenschutz-Compliance ebenfalls in den Entwicklungsprozess einbezogen werden. Ob das Datenschutz Know-how in der IT Abteilung selbst geschafften wird oder Juristen beigezogen werden, ist unternehmensbezogen zu entscheiden. Die internen Entwicklungsprozesse müssen überprüft und angepasst werden. Werden Juristen beigezogen, müssen sich diese ebenfalls anpassen, es sind keine trocknen Memoranden gefragt – welche jeden Schritt in Frage stellen – es ist ein risikobasierter Ansatz gefordert, bei welchem mit dem Projektteam eine rechtlich vertretbare Lösung gesucht und umgesetzt wird. Der Fokus liegt in einer der pragmatischen Problembeschreibung und Lösungsfindung.

Yves Gogniat hat an der Universität St. Gallen Rechtswissenschaften studiert und danach das Anwaltspatent erworben. Danach hat er in einer Boutique-Kanzlei gearbeitet, welche sich vor allem auf das IT- Recht und Datenschutz konzentriert. Zudem war er als Dozent für IT- und IP-Recht an der ZHAW tätigt. Yves Gogniat konnte dabei seine Leidenschaft für Technologie ausleben und sein Profil in diesen Gebieten schärfen. Seit dem Sommer 2017 ist er als selbständiger Rechtsanwalt bei GoLaw tätig. Yves Gogniat erbringt vor allem Rechtsdienstleistungen in Fragen des Technologie- und Vertragsrechts.

Die Kommentarfunktion ist geschlossen.