sdecoret - stock.adobe.com
Privacy by Default ist nicht nur Einstellungssache
Eingriffe in die Privatsphäre sollen so gering wie möglich sein, fordert der Datenschutz. Doch wie sehen datenschutzfreundliche Maßnahmen aus? Datenschutzbehörden geben Hinweise.
Einer der Grundsätze zur Verarbeitung personenbezogener Daten in der Datenschutz-Grundverordnung (DSGVO/GDPR) besagt, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen. Das Ziel des Datenschutzes ist es, die Eingriffe in die Privatsphäre der Betroffenen so gering wie möglich zu halten.
Maßnahmen zur Verarbeitung personenbezogener Daten sollen datenschutzfreundlich sein, sagt man. Der Datenschutz soll gleich von Beginn an berücksichtigt werden, wie es die Datenschutz-Grundverordnung mit „Privacy by Default“ fordert.
Doch wie hält man die Eingriffe in die Privatsphäre möglichst gering? Wie sorgt man für datenschutzfreundliche Verfahren zur Verarbeitung personenbezogener Daten? Eine zentrale Antwort darauf: Man fragt sich bei jeder Verarbeitung von Daten mit Personenbezug, ob dies wirklich notwendig ist.
Wie dies konkret geht, haben Aufsichtsbehörden in einer Veröffentlichung zur „Erforderlichkeit von Maßnahmen, die das Grundrecht auf Schutz personenbezogener Daten einschränken“ erläutert. Diese Hinweise können auch für Unternehmen hilfreich sein.
Klarheit über die Maßnahmen und Ziele erlangen
Zuerst muss sich ein Unternehmen und damit die verantwortliche Stelle für den Datenschutz (die Geschäftsleitung) genau überlegen, welche Maßnahme geplant ist und zu welchem Zweck welche personenbezogenen Daten verarbeitet werden sollen. Dies geht man besten, wenn man versucht, die entsprechenden Einträge in dem Verzeichnis von Verarbeitungstätigkeiten vorzunehmen, wie es in Artikel 30 DSGVO gefordert wird, also:
- die Zwecke der Verarbeitung
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
- die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
- gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie die Dokumentierung geeigneter Garantien
- wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
- wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 DSGVO (Sicherheit der Verarbeitung)
Mögliche Folgen für den Datenschutz untersuchen
Im nächsten Schritt geht es darum, die Eingriffe in die Privatsphäre zu betrachten. Wie werden die Rechte der Betroffenen eingeschränkt? Welche Folgen kann dies für sie haben? Hier können Verfahren für Risikoanalysen helfen. Insbesondere die von der DSGVO eingeführte Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 kann hier den Weg zeigen, wie die möglichen Folgen für den Datenschutz vorab bestimmt werden können.
Die Erforderlichkeit der Maßnahmen und Eingriffe hinterfragen
Nun geht es um die Bewertung der Wirksamkeit der Maßnahme mit Blick auf das angestrebte Ziel und um die Frage, ob sie im Vergleich zu anderen Optionen für das Erreichen desselben Ziels weniger eingreifend in den Datenschutz ist.
Mit anderen Worten: Gibt es nicht Maßnahmen, die das gleiche Ziel erreichen lassen, aber weniger Auswirkungen auf die Privatsphäre hätten? Dazu muss man alternative Maßnahmen suchen und deren mögliche Folgen für den Datenschutz klären. Gibt es keine Maßnahme, die das (legitime) Ziel mit geringeren Folgen für den Datenschutz erreichen lässt, ist die geplante die Maßnahme, die den höchsten Grad an Datenschutzfreundlichkeit erreicht.
Dabei ist zu beachten:
- Die Maßnahmen sollten unbedingt erforderlich sein, nicht „nice to have”.
- Ausnahmen und Beschränkungen in Bezug auf den Schutz personenbezogener Daten müssen sich auf das absolut Notwendige beschränken.
- Es muss eine logische Verbindung zwischen der Einschränkung im Datenschutz und den ermittelten legitimen Zielen bestehen.
- Das angestrebte Ziel muss als unmittelbare Folge der Maßnahme erreicht werden.
- Die Maßnahme sollte tatsächlich wirksam sein, also für das Erreichen der Zielsetzung wesentlich sein.
- Jeder einzelne Aspekt der Maßnahme ist einer strengen Prüfung der Erforderlichkeit zu unterziehen.
- Die Maßnahme sollte differenzieren, einschränken und Ausnahmen vorsehen bei den Personen, deren Daten mit Blick auf das angestrebte Ziel verwendet werden.
- Bei der Festlegung einer Speicherfrist für die Daten sollte die Maßnahme zwischen den Datenkategorien eine Unterscheidung treffen.
Fragen und Hinweise zur Maßnahmenplanung
Bevor eine Maßnahme final beschlossen wird, die einen Einfluss auf den Datenschutz haben wird, sollte hinterfragt werden:
- Warum sind bestehende Maßnahmen für eine Lösung des Problems nicht ausreichend?
- Warum sind alternative, weniger in die Privatsphäre eingreifende Maßnahmen für eine Lösung des Problems nicht ausreichend?
- Warum kann die vorgeschlagene Maßnahme das Problem wirksamer als andere lösen?
- Zudem empfiehlt die Veröffentlichung der Aufsichtsbehörde:
- Erwägen Sie die korrekte Umsetzung bestehender Maßnahmen an Stelle neuer in die Privatsphäre eingreifender Maßnahmen.
- Erwägen Sie eine Alternativmaßnahme, deren Wirksamkeit vergleichbar ist, die aber geringere Auswirkungen auf den Schutz personenbezogener Daten hat.
- Der Aspekt höherer Kosten kann bei der Prüfung der Verhältnismäßigkeit betrachtet werden. Die Verhältnismäßigkeit spielt aber erst dann eine Rolle, wenn die Maßnahme als wirklich erforderlich erkannt wurde.