Privacy by Design und Privacy by Default – Datenschutzfreundliche Voreinstellungen und Datenschutz durch Technik

Worum geht es?

Privacy by Design und Privacy by Default: was steckt hinter diesen beiden ähnlich klingenden englischen Begriffen?

Um datenschutzfreundliche Voreinstellungen und Datenschutz durch Technikgestaltung zu gewährleisten, sieht der Gesetzgeber in Artikel 25 der Datenschutz-Grundverordnung (DS-GVO) vor, dass die verantwortliche Stelle geeignete Maßnahmen ergreift. Auch in § 28 des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) ist dies festgelegt. Die Begriffe Privacy by Design und Privacy by Default werden dabei oftmals als zusammenhängend gesehen. Gemeint ist damit allerdings Unterschiedliches.

Was ist Privacy by Design?

Übersetzt heißt Privacy by Design „Datenschutz durch Technikgestaltung“. Datenschutz greift am besten, wenn er bereits bei Erarbeitung eines Datenverarbeitungsvorgangs technisch integriert ist, zum Beispiel durch eine Software-Anwendung.

Privacy by Default heißt „Datenschutz durch datenschutzfreundliche Voreinstellungen“. Dahinter steht der Grundgedanke, dass die Werkseinstellungen der genutzten Systeme und Anwendungen bereits datenschutzfreundlich ausgestaltet sind. Dies soll insbesondere bei einem nicht-technik/datenschutzaffinen Nutzer datenschutzgefährdende Einstellungsmöglichkeiten unterbinden. Das System nimmt damit die Entscheidung, ob eine Datenverarbeitung erforderlich bzw. erlaubt ist, vorweg.

Wozu dienen datenschutzfreundliche Voreinstellungen?

Ein „Klassiker“ und gutes Beispiel hierfür ist das CRM-System (Kundenmanagement) einer Organisation. Der Hersteller kann durch die Kenntlichmachung von Pflicht- und optionalen Feldern bereits die Weichen stellen, welche personenbezogenen Daten legitim verarbeitet werden, und welche gegebenenfalls einer vorherigen, nachweisbaren Einwilligung für eine Kontaktaufnahme bedürfen.

Daher sind Organisationen dazu angehalten, zum frühestmöglichen Zeitpunkt technische und organisatorische Maßnahmen für die Gestaltung der Verarbeitungsvorgänge zu treffen. So sind sowohl der Schutz der Privatsphäre als auch die Datenschutzgrundsätze der DS-GVO von Beginn an berücksichtigt.

Unabhängig von der Anforderung an den Verantwortlichen für eigene Datenverarbeitungen, kann es speziell für Softwareanbieter von großem Interesse sein diese Betrachtungsweise auch bei den eigenen Produkten oder Dienstleistungen einzunehmen.

Bedeutung für Software-Anbieter im Wettbewerb

Die besondere Stellung des Auftragsverarbeiters legt die Anlage dieser Aspekte daher auch an eine genutzte Anwendung oder Softwarelösung nahe. Auftraggeber stellen bei der Nutzung einer Software von einem Auftragsverarbeiter oft die Frage, ob hier ein datenschutzkonformes Produkt vorliegt. Die Berücksichtigung von Privacy by Design und by Default erleichtert dem Kunden oder Auftraggeber die Prüfung des Einsatzes einer datenschutzkonformen Software in diesem Zusammenhang ungemein.

Im Folgenden sind beispielhaft einige Kriterien, die bei der Softwareentwicklung zu einer datenschutzkonformen Lösung beitragen.

  • Rechtmäßigkeit der Datenerhebung (z.B.: durch eine Abfrage zu einer Einwilligung an der „richtigen“ Stelle)
  • Zugangskontrolle (begrenzte Zugänglichkeit)
  • Zugriffskontrolle (begrenzte Berechtigungen)
  • Protokollierung – Erfüllung Transparenzpflichten
  • Aufbewahrung – Löschpflicht (kurze Speicherfristen)
  • Exportmöglichkeit (Erleichterung der Umsetzung von Auskunftsanfragen)
  • Trennungskontrolle
  • Verschlüsselung
  • Anonymisierung
  • Consent-Management
  • Erforderlichkeit / Freiwilligkeit von Angaben
  • Schnittstellen
  • Berücksichtigung der Betroffenenrechte (Umsetzung von Informationspflicht, Widerspruchsrecht etc.)

Diese und weitere Kriterien können in einer Produktbeschreibung ergänzend thematisiert werden und Softwareanbieter damit von ihren Wettbewerbern abheben.

Hilfreiche Links:

  • BvD-News Seite 8: „Datenschutz durch Gestaltung – Der Artikel 25 der Datenschutz-Grundverordnung“
  • EU-Kommission: Was bedeutet „Datenschutz durch Technikgestaltung“ und „durch datenschutzfreundliche Voreinstellungen“?

Verfasser: Thorsten Jordan, 16.06.2021

Sie wollen mehr erfahren? Lassen Sie sich von uns beraten und nehmen Sie jetzt Kontakt auf!