Privacy by Design – Definition
Privacy by Design gemäß Art. 25 Abs. 1 DSGVO bedeutet „Datenschutz durch Technikgestaltung“ und verfolgt den Grundsatz, dass Daten durch technische Voreinstellungen geschützt werden. Hier geht es also um die Festlegung der Mittel für die Verarbeitung. Zu beachten ist, dass die Einhaltung der Anforderungen an den Datenschutz gemäß der europäischen Datenschutz-Grundverordnung (DSGVO) nur gelingen kann, wenn die technischen und organisatorischen Maßnahmen (TOMs) frühzeitig ergriffen werden.
Diese Maßnahmen müssen so ausgelegt sein, dass sie die gesetzlich geforderten Datenschutzgrundsätze unter Berücksichtigung des Stands der Technik wirksam umsetzen, um zum einen ein gesetzeskonformes Handeln zu ermöglichen und zum anderen die Rechte der betroffenen Personen zu schützen. Im Idealfall berücksichtigen bereits die Hersteller bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen das Recht auf Datenschutz.
Alle Regelungen zum Datenschutz, die die DSGVO ab dem 25. Mai 2018 mit sich bringt, sind im Buch „Datenschutz 2024“ kompakt auf einen Blick zusammengefasst.
Welche TOMs kommen infrage?
Gemäß DSGVO, Erwägungsgrund 78, kommen folgende TOMs infrage:
- Minimierung der Datenverarbeitung (z. B. Verzicht auf Speicherung und Weitergabe der IP-Adressen im Online-Bereich),
- Pseudonymisierung der betroffenen Person,
- Überwachung der Verarbeitung personenbezogener Daten oder
- Transparenz in Bezug auf die Funktion und Verarbeitung personenbezogener Daten.
Weil es auf den Einzelfall ankommt, ist in der Verordnung keine Standardlösung zu finden.
In Art. 4 DSGVO wird zumindest die TOM Pseudonymisierung näher erläutert: Dahinter steckt das Prinzip, dass personenbezogene Daten keiner spezifischen Person zugeordnet werden können, ohne dass die betroffene Person hinzugezogen wird (z. B. Bildung von Hashes auf IP-Adressen).
Privacy by Default – Definition
Privacy by Default gemäß Art. 25 Abs. 2 DSGVO heißt „Datenschutz durch datenschutzfreundliche Voreinstellungen“. Folglich sollten die Werkeinstellungen in Programmen, Apps oder sonstigen Anwendungen so ausgestaltet sein, dass die Nutzer und ihre Privatsphäre geschützt sind, ohne dass der Nutzer entsprechende Einstellungen selbst vornehmen muss.
Der Verantwortliche im Sinne der DSGVO muss dabei sicherstellen, dass grundsätzlich nur die personenbezogenen Daten verarbeitet werden, deren Verarbeitung für den jeweiligen Zweck erforderlich ist (Stichwort Zweckbindung und Datenminimierung). Dies gilt auch für die Rahmenvereinbarungen der Verarbeitung wie Art, Umfang, Speicherfristen und Zugänglichkeit.
Die Regelungen in Abs. 2 beziehen sich hauptsächlich auf internetbasierte Dienste, wie Online-Shops oder soziale Netzwerke. Denn hier geht es darum, Voreinstellungen zu definieren, mit denen der Nutzer festlegt, welchem Personenkreis und in welchem Umfang seine Daten zugänglich gemacht werden.
| Beispiel: Ein prominentes negatives Beispiel ist Facebook. Die Voreinstellungen der Plattform hat das Landgericht Berlin kürzlich als rechtswidrig eingestuft, wie Sie im Artikel „Facebook und Datenschutz: Landgericht Berlin sieht Voreinstellungen als rechtswidrig an“ nachlesen können. |
Drohende Bußgelder bei Nichtbeachtung
Der Verordnungsgeber meint es ernst – bei Nichtbeachtung der beiden Prinzipien Privacy by Design und Privacy by Default drohen Unternehmen gem. Art. 83 Abs. 4 DSGVO Geldbußen von bis zu 10 Mio. Euro oder von bis zu 2 % des weltweit erzielten Gesamtjahresumsatzes des vorangegangenen Geschäftsjahres – je nachdem, was höher ist.
Quelle: „Datenschutz 2018“
