INFORMATIONEN

Datenschutz durch Technik und Datenschutz durch Voreinstellung

Die Privatsphäre ist durch Design und standardmäßig geschützt. Die Datenschutz-Grundverordnung schreibt sowohl Datenschutz durch Technik als auch Datenschutz durch Technik vor. Standardmäßig sollte der Datenschutz datenschutzfreundliche Standardeinstellungen enthalten.

Die Begriffe „Datenschutz durch Technik“ und „Datenschutz durch Voreinstellungen“ tauchen in der Datenschutz-Grundverordnung häufig auf. Sie stehen für Datenschutz durch datenschutzfreundliche Technologiegestaltung und Standardeinstellungen. Diese Grundsätze bieten den Nutzern viele Vorteile, aber sie erfordern auch Maßnahmen von den Unternehmen, was in der Praxis oft übersehen wird.

DSGVO verlangt Datenschutz durch Design und Standardeinstellungen

Beide Begriffe sind in Artikel 25 der Datenschutz-Grundverordnung definiert. In diesem Artikel geht es ausschließlich um Datenschutz durch Voreinstellungen und Datenschutz durch Technik. Auf diese Weise sollten die personenbezogenen Daten der betroffenen Personen von Anfang an geschützt werden.

  • Datenschutz durch Technik: Artikel 25 Absatz 1 der Datenschutz-Grundverordnung bezieht sich auf den „Datenschutz durch Technik“. Konkret bedeutet dies, dass die Datensicherheit von Anfang an berücksichtigt wird, sobald Software oder Hardware, die Daten verarbeiten kann, erstellt wird. Folglich betrifft Privacy by Design weitgehend die Softwareentwicklung und kann bereits in der Entwicklungsphase eingeführt werden, zum Beispiel durch geeignete technologische und organisatorische Maßnahmen (TOM) (wie Pseudonymisierung oder Anonymisierung).
  • Privacy by Default: Dieses Wort wird in Artikel 25 (2) der Datenschutzgrundverordnung angesprochen. Hier geht es um Datensicherheit durch datenschutzfreundliche Standardeinstellungen, d. h. Datensicherheit als Standardeinstellung. Der Gedanke ist, dass die Standardeinstellungen (Werkseinstellungen) für Dienste, Systeme und Geräte so datenschutzfreundlich wie möglich gestaltet werden. Damit sollen auch Nutzer geschützt werden, die technisch nicht sehr versiert sind und ihre Datenschutzeinstellungen nicht so oft aktualisieren können, wie sie möchten.

    • Datenschutz durch Technik: Vorteile und Verfahren

    Nutzer und Unternehmen profitieren vom Konzept des eingebauten Datenschutzes, weil sie darauf vertrauen können, dass bei der Entwicklung oder Herstellung neuer Software oder Hardware bestimmte Datenschutzkriterien berücksichtigt wurden. So sollten z. B. nur die Daten, die für einen Verarbeitungszweck wirklich erforderlich sind, durch geeignete Software erfasst werden. Die Verarbeitung personenbezogener Daten soll auf das Notwendige beschränkt werden.

    Auch wenn Artikel 25 DSGVO besonders anwendungsorientiert ist, erfordert die Umsetzung der Anforderungen an den Entwickler immer eine Einzelfallprüfung. Gemäß Art. 42 DSGVO können, je nachdem wie genau die Kriterien der DSGVO erfüllt werden, Zertifizierungen wie ISO 27001 oder andere Siegel für exzellente Softwarequalität als Nachweis herangezogen werden. Wenn Ihr Unternehmen personenbezogene Daten verarbeitet, sollten Sie zertifizierte Softwarepakete verwenden, die ein entsprechendes Siegel tragen.

    Vorteile von Privacy by Default

    Für Internetnutzer und Webseitenbetreiber sind diese Vorgaben für datenschutzfreundliche Voreinstellungen von Interesse. Nutzerinnen und Nutzer müssen aufgrund der neuen Cookie-Richtlinie ihre Einstellungen beim Surfen nicht mehr ändern, ob sie das Tracking zu Werbezwecken zulassen wollen oder nicht. Es muss nun standardmäßig deaktiviert werden, wenn man der Datennutzung über einen längeren Zeitraum aktiv widersprochen hat (Opt-out).

    Leider haben sich bisher weder kleine noch große Unternehmen an diese Kriterien gehalten. Unwissenheit ist der Hauptgrund dafür, dass der Cookie-Banner und das Tracking-Verhalten nicht geändert werden. Dies ist jedoch ein Verstoß gegen die Datenschutz-Grundverordnung, der zu hohen Geldstrafen führen kann.

    Umsetzung der Datenschutzgrundsätze des Unternehmens

    Auch intern müssen die Unternehmen die Datenschutzrichtlinien einhalten. Dies bedeutet zum einen, dass die Nutzerdaten sicher sind. Dies gilt für alle Aspekte des Unternehmens, einschließlich der Website (Cookie- und Tracking-Einstellungen), der IT (hierunter fallen auch Mitarbeiterdaten; die interne Soft- und Hardware-Landschaft muss datenschutzfreundlich angepasst werden) und des Bewerbermanagements (sind die verwendeten Recruiting-Tools so konzipiert, dass nur notwendige Daten erfasst werden?)

    Zertifizierungen von Diensten, Systemen oder Geräten können, wie bereits erwähnt, bei der ordnungsgemäßen internen Umsetzung helfen. Ansonsten überwacht der Datenschutzbeauftragte, dass die Datenschutzrichtlinien des Unternehmens eingehalten werden. Darüber hinaus können diese grundlegenden Konzepte Ihnen dabei helfen, sicherzustellen, dass die Datenschutzrichtlinien Ihres Unternehmens befolgt werden:

  • Standardmäßiger Datenschutz: Ist die Datensicherheit standardmäßig für alle Dienste, Systeme und Geräte aktiviert?
  • Datenschutz durch Technik: Ist der Datenschutz nicht schon überall eingebaut, und muss er nicht noch verstärkt werden?
  • Sind die Einstellungen zum Schutz der Privatsphäre und zur Datensicherheit nicht Funktionsblocker? Kompromisse im garantierten Funktionsumfang sind nicht zulässig, wenn unnötige persönliche Daten erfasst werden sollen.
  • Dauerhafter Schutz: Sind die vom Unternehmen erworbenen und gespeicherten Daten während ihres gesamten Lebenszyklus angemessen geschützt? Dabei spielt es keine Rolle, ob es sich um Informationen über Bewerber, Arbeitnehmer, Kunden oder Geschäftspartner handelt.
  • Kontrolle der Sicherheit: Wenden Sie die Datenschutzpolitik so an, dass sie einer behördlichen Überprüfung standhält?
  • Sind alle Mitarbeiter geschult, potenzielle Datensicherheitsbedrohungen frühzeitig zu erkennen?