«Privacy by Design and Default» oder «Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen» sind keine neuen Begriffe. Im Rahmen der DSGVO erlangen sie jedoch neue Bedeutung und sind in Art. 25 der Datenschutz-Grundverordnung (DSGVO) verankert. Auch im neuen Datenschutzgesetz der Schweiz (nDSG) sind explizit die Grundsätze des «Datenschutzes durch Technik» und «Datenschutz durch datenschutzfreundliche Voreinstellungen» verankert.
Bei der Verarbeitung von Personendaten müssen «schon bei der Planung» angemessene technische und organisatorische Massnahmen (TOM) getroffen werden, welche die Umsetzung von Datenschutzgrundsätzen (z.B. Datenminimierung) in diesen Systemen sicherstellen (Privacy-by-Design). Auch die Voreinstellungen, beispielsweise bei Apps oder Websites, sind so auszugestalten, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist» (Privacy-by-Default).
Obwohl diese Begriffe oft zusammen verwendet werden, steht jeder Begriff für sich und ist entsprechend auch jeweils zu beachten. Was genau dahinter steckt soll dieser Beitrag zeigen.
Privacy by Design
Übersetzt heisst Privacy by Design «Datenschutz durch Technikgestaltung» und greift den Grundgedanken auf, dass sich der Datenschutz am besten einhalten lässt, wenn er bereits bei Erarbeitung eines Datenverarbeitungsvorgangs technisch integriert ist. In anderen Worten: der Schutz personenbezogener Daten im Sinne der DSGVO erfolgt durch das frühzeitige Ergreifen technischer und organisatorischer Massnahmen (TOMs) im Entwicklungsstadium.
Privacy by Default
Privacy by Default heisst übersetzt «Datenschutz durch datenschutzfreundliche Voreinstellungen» und bedeutet, dass die «Werkeinstellungen» datenschutzfreundlich auszugestalten sind. Nach dem Grundgedanken sollen insbesondere die Nutzer geschützt werden, die weniger technikaffin sind und z.B. dadurch nicht geneigt sind, die datenschutzrechtlichen Einstellungen ihren Wünschen entsprechend anzupassen. Dieser Gedanke kann beispielsweise im Cookie-Banner so umgesetzt werden, dass der User aktiv verschiedene Cookies auswählen kann, aber in der Grundeinstellung nur die «Notwendige» angekreuzt sind. Dies im Hinblick darauf, dass Nutzer grundsätzlich den Schutz ihrer Privatsphäre befürworten, aber nicht aktiv entsprechende Einstellungen vornehmen.
Wie löst ein KMU diese Anforderung?
Am besten mit einer Checkliste mit folgenden Themen:
- Prüfung der Rechtsgrundlagen für die Datenerhebung und Verarbeitung
- Zweckbindung der Datennutzung
- Datensparsamkeit und deren Voraussetzung
- Transparenz und Information zur Datenverarbeitung
- Rechte der Betroffenen und deren Umgang damit
- Informationssicherheit Technische und organisatorische Massnahmen (TOMs)
Wichtig ist, dass die Checklist vor der Erstellung einer neuen Datensammlung abgearbeitet wird. Bei besonderen Risiken für die Personendaten von Betroffenen ist unter Umständen auch eine Datenschutzfolgeabschätzung (DFA) vorzunehmen.