Die Begriffe Privacy by Design und Privacy by Default sind spätestens seit Inkrafttreten der DSGVO im Mai 2018 allgemein bekannt. Was aber bedeuten sie eigentlich im Detail? Und welche Konsequenzen ergeben sich daraus für Sie als Unternehmer beziehungsweise für Ihre Entwickler?
Wir erklären beide Begriffe und verraten Ihnen, welche Aspekte Sie diesbezüglich unbedingt beachten sollten.
Technische und organisatorische Maßnahmen haben seit der DSGVO eine größere Bedeutung. Bild: Pixabay / Pete Linforth/TheDigitalArtist
Privacy by Design & Privacy by Default – Definition
Wörtlich übersetzt bedeuten die beiden Begriffe „Datenschutz durch Technikgestaltung“ und „Datenschutz durch datenschutzfreundliche Voreinstellungen“. Der dahinter steckende Grundgedanke ist der, dass sich die strengen Datenschutzrichtlinien am besten und einfachsten einhalten lassen, wenn ihre Bestimmungen bereits auf technischer Ebene integriert sind. Anders ausgedrückt: Technische und organisatorische Maßnahmen (sogenannte TOMs) greifen so frühzeitig, dass der Schutz personenbezogener Daten während ihrer Verarbeitung konsequent gewährleistet ist.
Dementsprechend sind auch die Werkseinstellungen datenschutzfreundlich zu gestalten. Das soll vor allem die Nutzer schützen, die technisch weniger versiert sind und Schwierigkeiten damit haben könnten, ihre persönlichen Datenschutzeinstellungen nach ihrem Gusto anzupassen.
In genau diesem Zusammenhang taucht übrigens immer häufiger der Begriff „Privacy Paradox“ auf. Damit ist gemeint, dass ein Großteil der Nutzer die strengeren Datenschutzauflagen generell befürwortet, aber selbst jegliche Aktivität – zum Beispiel das Anpassen der Einstellungen – scheut. Zu sehen ist das beispielsweise bei den Cookies. Bietet eine Website die Möglichkeit, Cookie-Einstellungen im Detail zu definieren, ist das zwar im Sinne der DSGVO, überfordert aber den Nutzer. Erschwerend kommt hinzu, dass sich längst nicht jede Website an die Vorgaben der DSGVO hält. Diese Thema haben wir in einem weiteren Blogpost für Sie aufbereitet.
Privacy by Design & Default umsetzen
Die gute und gleichzeitig auch schlechte Nachricht ist: Es gibt weder einen offiziellen „Katalog“ der entsprechenden TOMs, noch einen Leitfaden zur Umsetzung. Ergo: Es gibt nur wenig bis keine Orientierungsmöglichkeiten für Unternehmen. Der Gesetzgeber schlägt lediglich folgende Leitlinien vor, ohne dabei konkret zu werden:
- Die Verarbeitung personenbezogener Daten setzt nur dann ein, wenn sie wirklich nötig ist.
- Eine hohe Transparenz der Datenverarbeitungswege und -Methoden gegenüber dem Nutzer ist zu gewährleisten.
- Nutzer sollten direkte und unkomplizierte Möglichkeiten haben, ihre jeweiligen Datenschutz-Einstellungen selbst anzupassen.
- Alle erhobenen Daten, die sich eindeutigen Personen zuordnen lassen, sollten möglichst sofort anonymisiert beziehungsweise pseudonymisiert und / oder verschlüsselt werden.
Das alles steht übrigens auch ganz offiziell im Artikel 25 der DSGVO. Er beschriebt unmissverständlich, dass Verantwortliche geeignete technische und organisatorische Maßnahmen ergreifen müssen, um die Anforderungen der Datenschutzgrundverordnung einzuhalten.
TOMs sollen für mehr Datenschutz und Datensicherheit sorgen. Bild: Pixabay / TheDigitalArtist/Pete Linforth
Datenschutz durch Technikgestaltung
Fakt ist: Die Umsetzung entsprechender Datenschutz-Maßnahmen auf organisatorischer und technischer Ebene macht in jedem Fall Sinn und hat auch langfristig viele Vorteile. Beispielsweise, wenn aufgrund neuer Auflagen „plötzlich“ die 2-Faktor-Authentifizierung implementiert werden muss. Denn häufig gehen der Datenschutz und die allgemeine Sicherheit im Netz Hand in Hand. Wer die technischen Weichen dafür schon gestellt hat, hat künftig weniger Stress und Sorgen.
Problematisch ist das Thema nur für alle, deren Entwicklungen eigentlich längst abgeschlossen ist. Denn Privacy by Design und Default leben ja genau davon, in einem möglichst frühen Stadium Anwendung zu finden. Alles andere ist damit eher eine Art „Nachrüsten“ – und das kann viel Zeit und Nerven kosten. Umso wichtiger ist es, sich bei neuen Projekten möglichst zu Beginn den TOMs zu widmen. Entsprechende Unterstützung durch versierte Experten sollten Sie dabei unbedingt in Anspruch nehmen.
Höhere Sicherheit durch Umsetzung von TOMs
Ein gutes Beispiel dafür, wie sinnvoll TOMs abseits vom Datenschutz sein können, ist das Thema Sicherheit. Nahezu täglich berichten die Medien über irgendwelche neuen Sicherheitslücken in Hard- oder Software-Produkten. Und warum? Weil findige Hacker sie entdecken und ausnutzen. Hätten die Entwickler der jeweiligen Produkte hingegen in der frühestmöglichen Phase ihre Hausaufgaben ordentlich gemacht, wäre das vielleicht gar nicht passiert. Das Ganze nennt sich dann „Security by Design“.
Tatsächlich ist es aber auch in vielen Fällen so, dass Hersteller ihre Produkte ganz bewusst „unfertig“ auf den Markt bringen und das Schließen etwaiger Lücken im Nachgang bereits fest einkalkulieren. Ob und inwiefern sich das in naher Zukunft noch ändert, darüber kann nur spekuliert werden.
Generell sollte aber für alle gelten: Vorsicht ist besser als Nachsicht. Wer die Möglichkeit hat, frühzeitig Maßnahmen zu ergreifen, die die Sicherheit und/oder den Datenschutz gewährleisten, wäre gedankenlos, sie nicht zu nutzen.
Geschrieben von
Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Besonders die Themen rund um den digitalen Wandel und New Work haben es ihr angetan. Darüber hinaus ist die erfahrene Texterin immer wieder fasziniert davon, welche neue Methoden und Tricks Hackern und Cyberkriminellen einfallen. Seit 2013 kennt Lena Klaus die IT-Branche und… Weiterlesen
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung