Datenschutz-Akademie » Datenschutz-Wiki » Privacy by Design

Ein Gruppe von Datenschützern helfen bei der Entwicklung von IT-Systemen mit dem Ansatz des Privacy by Design

Was ist Privacy by Design?

Datenschutz von Anfang an mitdenken

Privacy by Design ist die datenschutzkonforme technische Konzeption und Entwicklung von IT-Systemen. Die DSGVO regelt dieses Prinzip in Artikel 25 und Erwägungsgrund 78. Es ist sinnvoll, mögliche Datenschutzprobleme schon in der Entwicklungsphase zu prüfen und den Datenschutz von vorneherein in die Konzeption einzubeziehen und mitzudenken, statt diese Probleme hinterher mühsam und zeitaufwändig beheben zu müssen. Der Ansatz des Privacy by Design beinhaltet unter anderem das Gebot der Datensparsamkeit, die Trennung von personenbezogenen Identifizierungsmerkmalen und Inhaltsdaten, die Nutzung der Pseudonymisierung und Anonymisierung sowie die möglichst baldige Löschung personenbezogener Daten.

Was ist der Unterschied zwischen Privacy by Design und Privacy by Default?

Die drei wichtigsten Grundsätze von Privacy by Design sind erstens die Transparenz der Datenverarbeitung und Kontrollmöglichkeit durch den Betroffenen, zweitens der Einsatz von Verfahren, die technischen Sicherheitsstandards genügen und drittens datenschutzkonforme Voreinstellungen (Privacy by Default). Das dient dem Schutz der Nutzer, insbesondere dann, wenn Nutzer nur über beschränkte IT-Kenntnisse verfügen und daher nicht in der Lage sind, die nötigen technischen Maßnahmen selbst zu ergreifen.

Ein Umsetzungsbeispiel für Privacy by Default sind die Tracking-Einstellungen von Browsern. Der Browser teilt den besuchten Webseiten automatisch mit, dass der Benutzer nicht verfolgt werden will und darf. Der Anwender kann diesen Schutz auch ausschalten und dem Tracking zustimmen. Das nennt man Opt-in.

Konsequenzen für den Datenschutz

Der Ansatz des Privacy by Design sollte für Technikhersteller und Entwickler genauso verbindlich sein wie für diejenigen, die für die Datenverarbeitung verantwortlich sind und über die Beschaffung und den Einsatz von IT-Systemen entscheiden.

Apps sollten zum Beispiel so konzipiert sein, dass diese standardmäßig nur solche Daten verarbeiten, die für die grundsätzliche Funktionalität erforderlich sind. Andere Funktionen, die weitere Daten des Betroffenen benötigen, muss der Nutzer erst aktivieren. Zuvor muss man den Nutzer in wenigen Sätzen über den Nutzen, die zugriffsberechtigten Empfänger und die Speicherdauer der Daten informieren.

Der Betroffene sollte stets Herr seiner Daten sein und prüfen können, welche App-Funktion welche Daten zu welchem Zweck benötigt und einzelne Funktionen aktivieren oder deaktivieren können. Die Beachtung des Privacy by Design führt auch dazu, dass man die künftige Missbrauchsanfälligkeit von Technologien analysiert. Daher sollte die Gültigkeitsdauer von Zertifikaten nicht zu lang gewählt werden. Systeme müssen so ausgelegt sein, dass man Sicherheitsvorkehrungen zu einem späteren Zeitpunkt verbessern und hinzufügen kann.

Externer Datenschutzbeauftragter

Gern können Sie uns als externen Datenschutzbeauftragten (DSB) bestellen. Wir bieten auch einzelne Beratungsleistungen sowie Audits an und erstellen Ihnen gern ein unverbindliches Angebot. Mehr Informationen zu unseren externen Datenschutzbeauftragten finden Sie auf unserer Website.

Kann datenschutzfreundliche Technik ein Wettbewerbsvorteil sein?

Auf den ersten Blick scheint Privacy by Design die von vielen Unternehmen angestrebte profitable Verwertung personenbezogener Daten zu hemmen. Doch der Einsatz von Privacy-Enhancing-Technologien und Informationen darüber führen zu einer höheren Akzeptanz bei den Betroffenen und für die Unternehmen zu mehr Rechtssicherheit. Sozusagen eine Win-Win-Situation für beide Seiten. Intransparente Datenverarbeitungen ohne Beteiligung des Betroffenen stärken dagegen das Misstrauen der Bevölkerung gegenüber der Verarbeitung ihrer Daten. Insbesondere die Pseudonymisierung von Daten hat in diesem Zusammenhang große Bedeutung, denn sie widerspricht nur in seltenen Fällen einer wirtschaftlich effektiven Datenanalyse. Große Online-Werbenetzwerke haben das längst erkannt.

Unternehmen sollten nicht nur aus rechtlichen, sondern auch aus wirtschaftlichen Gründen auf Privacy by Design setzen. Wenn die Betroffenen über die Verwendung ihrer Daten informiert sind und diese durch datenschutzfreundliches Systemdesign aktiv kontrollieren können, steigt die Akzeptanz gegenüber IT-Systemen und -Diensten. Der aktive Verweis auf den Einsatz von Privacy by Design kann Unternehmen einen Vorteil verschaffen.

Prof. Dr. Andre Döring
Neueste Anzeigen von Prof. Dr. Andre Döring (Alle anzeigen)

Das könnte Sie auch interessieren:

Was ist das TTDSG?

Was ist das TTDSG? Neues Datenschutzgesetz und Anpassung der Regelungen zu Cookies und PIMS.

Die neuen EU-Standard-Vertragsklauseln

Am 07. Juni 2021 hat die Europäische Kommission die neue Version der EU Standardvertragsklauseln für den internationalen Datentransfer von personenbezogener Daten veröffentlicht.

Passwortlose Authentifizierung über FIDO2

Was bedeutet passwortlose Authentifizierung über FIDO2? Warum das Passwort veraltet ist und Sie auf den Sicherheits-Standard setzen sollten!