mixmagic - stock.adobe.com
Empfehlungen für Privacy by Design nach DSGVO
Die Aufsichtsbehörden für den Datenschutz in der EU haben Leitlinien für Privacy by Design verabschiedet, die bei der praktischen Umsetzung sehr hilfreich sein können.
Die Forderung nach einem Datenschutz, der bereits während der Konzeption und Entwicklung von IT-Lösungen beachtet wird, besteht schon seit langem und ist nicht erst durch die Datenschutz-Grundverordnung (DSGVO/GDPR) auf die Agenda der Anwenderunternehmen gekommen.
Doch die DSGVO hat dieser Forderung nochmals Nachdruck verschafft, indem der Artikel 25 DSGVO explizit einen „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ einfordert.
Trotzdem kann man weiterhin nicht davon ausgehen, dass eine Applikation, ein Betriebssystem oder eine Cloud-Lösung bereits „ab Werk“ Voreinstellungen besitzt, die dem Datenschutz dienen (Privacy by Default), oder aber Funktionen und Module, die unter genauer Beachtung der Datenschutz-Grundsätze (wie Datenminimierung) entwickelt wurden (Privacy by Design), siehe auch Privacy by Default ist nicht nur Einstellungssache.
Unternehmen brauchen und erhalten mehr Orientierung
Werden Unternehmen befragt, warum Privacy by Design und Privacy by Default immer noch nicht vollständig umgesetzt sind, verweisen viele auf eine Unsicherheit, wie denn diese Forderungen in der Praxis umgesetzt werden sollen.
Diese Unsicherheit kann nun zu einem guten Stück genommen werden, denn der Europäische Datenschutzausschuss (EDSA) hat ein umfangreiches Dokument Guidelines on Data Protection by Design & Default veröffentlicht.
Die Richtlinien konzentrieren sich auf die Verpflichtung zum Datenschutz durch Design und Default gemäß Artikel 25 DSGVO. Die in Artikel 25 DSGVO verankerte Kernverpflichtung ist die wirksame Umsetzung der Datenschutzgrundsätze und der Rechte und Freiheiten der betroffenen Personen durch Privacy by Design & Default.
Die Verpflichtung bedeutet, dass die für die Verarbeitung Verantwortlichen geeignete technische und organisatorische Maßnahmen und die erforderlichen Sicherheitsvorkehrungen treffen müssen, um die Datenschutzgrundsätze in der Praxis umzusetzen und die Rechte und Freiheiten der betroffenen Personen zu schützen. Darüber hinaus sollten die für die Verarbeitung Verantwortlichen nachweisen können, dass die umgesetzten Maßnahmen wirksam sind. Der Europäische Datenschutzausschuss wendet sich in den Richtlinien auch an die Hersteller:
Obwohl in Artikel 25 DSGVO nicht direkt angesprochen, sollten sich auch Hersteller bewusst sein, dass Anwenderunternehmen nur personenbezogene Daten verarbeiten dürfen mit Systemen und Technologien, die über einen integrierten Datenschutz verfügen.
Man kann also sagen: Hersteller werden zwar nicht direkt in der DSGVO adressiert, doch sie sollten Privacy by Design und Privacy by Default beachten, denn die Anwenderunternehmen und damit ihre Kunden sollen nur mit solchen Lösungen arbeiten, die diese Datenschutz-Prinzipien beachten.
Was die Aufsichtsbehörden für den Datenschutz empfehlen
Der Europäische Datenschutzausschuss hat auch konkrete Hinweise, wie sich Privacy by Design und Privacy by Default praktisch besser umsetzen lassen, die Aufsichtsbehörden bleiben also nicht bei Forderungen stehen, sondern sie unterstützen durch Hinweise zur Umsetzung, darunter:
- Wenn der für die Verarbeitung Verantwortliche (also die Geschäftsleitung in den Anwenderunternehmen oder bei den Auftragsverarbeitern) einen Datenschutzbeauftragten (Data Protection Officer, DPO) hat, sollte man diese oder diesen Datenschutzbeauftragten in die Beschaffungs- und Entwicklungsverfahren sowie im gesamten Verarbeitungslebenszyklus einbeziehen.
- Datenschutzverbessernde Technologien (Privacy-enhancing technologies, PETs), die den Stand der Technik erreicht haben, können eine Maßnahme für die Umsetzung von Privacy by Design und Privacy by Default sein, falls dies für das jeweilige Risiko angemessen ist.
- Wichtig: PETs an sich decken nicht unbedingt die Verpflichtungen von Artikel 25 DSGVO ab. Die für die Verarbeitung Verantwortlichen bewerten, ob die Maßnahme zur Umsetzung angemessen und wirksam ist. Das bedeutet: Alleine die Nutzung von PETs bedeutet nicht, dass man wirklich die Forderung nach Privacy by Design und Privacy by Default auch vollständig erfüllt.
- Bereits vorhandene Lösungen müssen genauso die Forderung nach Privacy by Design und Privacy by Default erfüllen wie die neuen Lösungen.
- Wichtig: Lässt sich eine Bestandslösung nicht so verändern, dass sie Privacy by Design und Privacy by Default erfüllt, dann verstößt die Nutzung dieser Altlösung gegen die DSGVO und muss deshalb unterbleiben.
Tipps der Aufsichtsbehörden speziell für kleine und mittlere Unternehmen
Auch kleine und mittlere Unternehmen (KMU) müssen die Forderung nach Privacy by Design und Privacy by Default erfüllen, ohne Abstriche, wie die Aufsichtsbehörden für den Datenschutz klarstellen.
Deshalb haben die Aufsichtsbehörden eine Reihe von speziellen Tipps für KMU zur Umsetzung von Privacy by Design und Privacy by Default, darunter:
- Führen Sie frühzeitig Risikobewertungen durch.
- Beginnen Sie mit einer „kleinen Verarbeitung“ und skalieren Sie später den Umfang und die Komplexität.
- Suchen Sie nach Hersteller- und Verarbeitungsgarantien für Privacy by Design und Privacy by Default, zum Beispiel eine anerkannte Zertifizierung und die Einhaltung eines anerkannten Verhaltenskodex.
- Sprechen Sie mit den Datenschutzbehörden.
- Lesen Sie die Leitlinien der Datenschutzbehörden und des EDSA.
- Halten Sie Verhaltenskodizes ein, sofern diese (schon) verfügbar sind.
- Holen Sie sich professionelle Hilfe und Beratung.
Auch größere Unternehmen tun sicherlich gut daran, diese Punkte für sich zu prüfen. Gerade die Auswahl von Lösungen anhand verfügbarer Zertifizierungen nach DSGVO wird kleinen wie großen Unternehmen helfen und den Vorgaben Privacy by Design und Privacy by Default mehr Gehör auf dem Markt verschaffen.
Wenn datenschutzfreundliche Lösungen einen Wettbewerbsvorteil haben, gibt es neben der DSGVO weitere gute Gründe, mehr auf Privacy by Design und Privacy by Default zu achten, gerade auf Herstellerseite, die letztlich besonders gefordert ist, aber in der DSGVO nicht direkt angesprochen wird.