Datenschutz: Privacy by Design oder Privacy by Default?
Dieser Beitrag beleuchtet die Unterschiede zwischen Privacy by Design und Privacy by Default laut der DSGVO und was Unternehmen beachten sollten, um Strafen aufgrund von Datenschutzverstößen zu vermeiden.
Die DSGVO spricht in deren Artikel 25 von „Datenschutz durch Technikgestaltung” und „Datenschutz durch datenschutzfreundliche Voreinstellungen“. Nachstehend die rechtlichen Definitionen bzw gesetzlichen Anknüpfungspunkte.
PRIVACY BY DESIGN – Definition
„Unter Berücksichtigung […] der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen […], die dafür ausgelegt sind, die Datenschutzgrundsätze […] wirksam umzusetzen […], um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.“
PRIVACY BY DEFAULT – Definition
„Geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden“
Die Konzepte „Privacy by Design“ und „Privacy by Default“ sind mit Einführung der DSGVO im Unionsgebiet und darüber hinaus für die Verarbeitung von Personendaten zu geltendem Recht erhoben worden. Entwickelt ein Unternehmen etwa ein App zur Speicherung und Verarbeitung von Daten, müssen darin diverse Schutzfunktionen enthalten sein, wobei der Eingriff in die Privatsphäre der Nutzer ebenfalls geschützt ist, weshalb in der Regel nur Daten erhoben werden, die für den bestimmten Zweck zwingend notwendig sind. Darüber hinausgehende Datensätze dürfen nicht erhoben werden oder müssen zumindest pseudonymisiert bzw anonymisiert werden, um dies zu gewährleisten.
Worin besteht der Unterschied zwischen Privacy by Design & Privacy by Default?
Mit „Privacy by Design“ soll in erster Linie die datenschutzkonforme Entwicklung und Arbeitsweise von Soft- oder Hardware sichergestellt werden, wohingegen „Privacy by Default“ die Privatsphäre und die persönlichen Daten von Nutzern durch entsprechende Voreinstellungen schützt. Die vorgegebenen Einstellungen können jedoch vom Nutzer individuell verändert werden, etwa wenn der Nutzer der Aufzeichnung von Daten zu Personalisierungszwecken zustimmt. Solche Einwilligungen müssen jeweils einzeln für jeden Nutzer aktiv eingeholt werden. Zustimmungen, die sich etwa in großen Vertragswerken verstecken, genügen dieser Anforderung keinesfalls.
Privacy by Design
Privacy by Design bedeutet, dass jede Software und Hardware von Grund auf so konzipiert und entwickelt sein muss, dass relevante Datenschutzmaßnahmen schon von Beginn an inkludiert sind. Die technische Ausgestaltung orientiert sich in allen Bereichen an diesen Datenschutzanforderungen. Die Überlegung dahinter ist, dass sich die Bestimmungen der DSGVO am leichtesten einhalten lassen, wenn deren Vorgaben bereits vollständig technisch integriert sind, um keine weiteren nachträglichen Maßnahmen, wie beispielsweise die Löschung von rechtswidrig erhobenen Daten, unnötigerweise erforderlich zu machen. Technische und organisatorische Maßnahmen (TOMs) zum Schutz personenbezogener Daten erfolgen somit frühzeitig in der Entwicklungsphase, damit die entsprechende Software bzw Hardware ab Auslieferung oder Einsatzbeginn DSGVO-konform ohne Verzögerung einsatzbereit ist.
Mögliche Maßnahmen
Es folgt ein beispielhafter Überblick über etwaige Maßnahmen:
- Datenminimierung:Es dürfen nur jene Personendaten erfasst werden und verarbeitet werden, die für die Geschäftsabwicklung zwingend erforderlich sind.
- Pseudonymisierung: Personendaten müssen ehestmöglich pseudonymisiert werden. Dadurch können etwa in Einrichtungen des Gesundheitswesens die Namen von Personen von den Informationen über den Gesundheitszustand und die Behandlung separat gespeichert und erst beim zulässigen Abruf zusammengeführt werden. Durch die Datentrennung wird eine Datenschutzverletzung verhindert bzw deutlich erschwert.
- Trennung von Datensätzen nach Zweck: Um die Einhaltung des Grundsatzes der Zweckbindung zu gewährleisten, können Personendaten auch sauber getrennt nach dem Zweck, für den sie erhoben wurden, gespeichert werden. Dadurch wird zB verhindert, dass unabsichtlich eine Zweckentfremdung erfolgt.
- Passwortschutz: Durch selektiven Passwortschutz stellt man sicher, dass nur jene Mitarbeiter eines Unternehmens Zugriff auf bestimmte Personendaten haben, welche diese Daten für ihre Arbeit tatsächlich benötigen (der Verkaufsmitarbeiter muss und soll keinen Zugriff auf die Personaldaten haben). Die Ausuferungsgefahr unberechtigter Zugriffe wird dadurch minimiert.
- Löschung: Es muss ein Konzept zur Löschung der Daten entwickelt werden, die nicht mehr gespeichert werden dürfen. Idealerweise wird ein System entwickelt, welches die zu löschenden Daten nach einem vorgegebenen Zeitablauf automatisch und idealerweise unwiederherstellbar entfernt. Besonders sind hierbei die gesetzlichen Aufbewahrungsfristen der jeweiligen Daten zu beachten, um nicht ein umgekehrtes Problem dadurch auszulösen.
- Veränderung der Sichtbarkeit: Gerade bei Bild- und Filmdaten, bei denen vom Zweck her die Gesichter nicht erkennbar sein müssen (zB hinsichtlich Videoüberwachungen, die nur die Verkehrsüberwachung oder der Sicherheit von technischen Abläufen betrifft) können Gesichter automatisch durch Verpixelsfunktionen unkenntlich gemacht werden. Dadurch werden datenschutzrechtliche Causen, aber auch hinsichtlich Persönlichkeitsrechte, Recht am eigenen Bild etc vorgebeugt.
Privacy by Default
Privacy by Default bezweckt vor allem dem Schutz der Internetnutzer, die kein großes technisches Verständnis mitbringen. Darunter versteht man, dass Software, Hardware und Services bei Auslieferung datenschutzkonform voreingestellt sind. Damit wird dem so genannten „Privacy Paradox“ genüge getan. Darunter versteht man die Besorgung des Datenschutzes durch einen Nutzer bei gleichzeitigem Unwissen des Nutzers, wie er selbst seine Privatsphäre-Einstellungen nach seinen Wünschen anpassen kann. Dies bedeutet etwa, dass ein Nutzer nicht immer die Werkzeuge mitbringt, um eigenständig seinen Internetbrowser so zu adaptieren, dass kein Werbetracking mehr stattfindet. Eine Abänderung durch den informierten Nutzer bleibt natürlich mittels Einstellungen jederzeit möglich.
Das Erfordernis der individuellen Festlegung entfällt somit, wenn der Browser dem Datenschutz by Default-Konzept folgt und somit von Beginn an datenschutzfreundlich voreingestellt ist.
Nachweispflicht und Strafdrohungen
Ein Unternehmen, dessen Verarbeitungen der DSGVO unterliegen, muss beweisen können, dass es im Rahmen des Zumutbaren angemessene Maßnahmen im Sinne des Artikels 25 DSGVO ergriffen hat. Bei bestimmten, besonders schwerwiegenden Verstößen können Geldbußen von bis zu EUR 20 Millionen oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden, je nachdem, welcher Betrag höher ist. In sonstigen Fällen beträgt die Strafhöhe bis zu EUR 10 Millionen oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist.
Hinweis:
Besteht eine Zertifizierung gemäß Artikel 42 DSGVO, ist ein vereinfachter Nachweis der Einhaltung der Vorschriften möglich. Der Verstoß gegen die Grundsätze von Privacy by Design und Privacy by Default kann zu hohen Geldstrafen führen.