INFORMATIONEN

Ist ‚Privacy by design‘ oder ‚Privacy by default‘ die beste Option für Ihr Unternehmen?

Nach der Einführung der Datenschutz-Grundverordnung (DSGVO) mussten sich die Unternehmen entscheiden, wie sie die EU-Datenschutzverordnung einhalten wollten: mit dem „Privacy Approach by Design“ oder dem „Privacy by Default“. Für bestimmte Unternehmen ist eine der beiden Definitionen noch nicht lange gültig, aber sie sind nun für alle Personen, die mit personenbezogenen Daten umgehen, gesetzlich vorgeschrieben.

In der Datenschutz-Grundverordnung wird betont, dass der „eingebauten Datenschutz“ es Organisationen ermöglicht, den Schutz der Privatsphäre bereits in der ersten Entwurfsphase in einem frühen Stadium aller Aktivitäten des Unternehmens im Umgang mit personenbezogenen Daten zu berücksichtigen.

In der Zwischenzeit bedeutet der implizite Datenschutz, dass Unternehmen nur die erforderlichen personenbezogenen Daten erhalten können. Doch welcher dieser Ansätze ist für Ihr Unternehmen am besten geeignet, und wie können Sie sicherstellen, dass Sie von der Einhaltung der Vorschriften profitieren?

Von den für die Datenverarbeitung Verantwortlichen in allen Bereichen, in denen personenbezogene Daten verarbeitet werden, wird erwartet, dass sie geeignete technische und organisatorische Schutzmaßnahmen ergreifen, um die Sicherheit personenbezogener Daten vor einer als unrechtmäßig zu betrachtenden Verarbeitung zu gewährleisten.

Aufgrund dieser Verpflichtung müssen die für die Datenverarbeitung Verantwortlichen die Belange des Datenschutzes in den Mittelpunkt jeder von ihnen in Erwägung gezogenen Verarbeitung stellen, und zwar schon vor deren Beginn.

Durch die Einbindung eines datenschutzorientierten Denkprozesses könnte das Potenzial für eine nachteilige Erhebung personenbezogener Daten weiter vermieden werden. Doch bevor wir uns ansehen, wie dieser Denkprozess aussehen kann, schauen wir uns zunächst an, was die Datenschutz-Grundverordnung über die beiden Variablen sagt und wie sie unterschieden werden können.

Privacy by Default in Übereinstimmung mit DSGVO

Privacy by Design“ ist eine Datenschutz-/Datensicherheitsstrategie, die Unternehmen bereits in der Anfangs- oder Entwurfsphase eines beliebigen Unternehmensprozesses anwenden können.

Dadurch wird sichergestellt, dass Datenschutz und Datensicherheit in alle Prozesse, Produkte, Einrichtungen, Angebote und Anwendungen der Organisation integriert werden. Einige Beispiele dafür, wo Ihre Organisation „Privacy by Design“ vorschlagen könnte:

  • Das Unternehmen entwickelt ein neues IT-System, das personenbezogene Verbraucherdaten in großem Umfang verwaltet;
  • Das Unternehmen überarbeitet seine Politik oder Geschäftsstrategien;
  • Das Unternehmen hat zugestimmt, personenbezogene Daten für neue Verwendungszwecke zu nutzen, die von der Organisation noch nicht durchgeführt wurden;
  • Das Unternehmen lanciert neue Projekte zur gemeinsamen Nutzung von Daten.

    • Wenn Ihr Unternehmen den „eingebauten Datenschutz“ einführen möchte, kann eine Datenschutzpolitik sehr hilfreich sein, um potenzielle Risiken zu definieren und zu ermitteln und einen Einblick in Geschäftsentscheidungen zu geben. Die Bewertung von Fällen wie den oben genannten Beispielen in einem frühen Stadium kann den für die Datenverarbeitung Verantwortlichen nicht nur dabei helfen zu verstehen, welche Schritte und Abhilfemaßnahmen erforderlich sind, sondern auch Leitlinien und Präzedenzfälle für potenzielle Projekte liefern. Während „privacy by design“ betont, wie wichtig es ist, den Datenschutz bereits in der Anfangsphase des Entwurfsprozesses zu berücksichtigen, legt „privacy by default“ realistischere Ansätze dafür fest.

    Datenschutz nach DSGVO

    Datenschutz ist standardmäßig dann gegeben, wenn und nicht nur dann, wenn ein Gerät, ein Verfahren oder ein Dienst Methoden bereitstellt, mit denen die betroffenen Personen auswählen können, wie viele personenbezogene Daten sie bereit sind, weiterzugeben.

    Das bedeutet auch, dass die Standardeinstellung einer bestimmten Methode die „datenfreundlichste“ Option sein sollte. Dies bezieht sich auf die Grundprinzipien der Zweckbindung und der Datenminimierung der Datenschutz-Grundverordnung.

    In solchen Fällen können Organisationen nur die am besten geeigneten personenbezogenen Daten für einen bestimmten Zweck erheben und verarbeiten. Wenn eine Einrichtung die Daten von Personen benötigt, sollte immer das Ziel verfolgt werden, auf leicht verständliche Weise zu erklären, warum und wie personenbezogene Daten verwendet und verarbeitet werden.

    Einige Beispiele, bei denen Ihr Unternehmen die Umstellung auf Datenschutz als Standardeinstellung in Betracht ziehen könnte:

  • Das Unternehmen muss sicherstellen, dass die Standardoption des Dienstes eine ist, die keine zusätzlichen persönlichen Daten erfordert.
  • Das Unternehmen trifft Maßnahmen, um sicherzustellen, dass keine zusätzlichen Daten verwendet werden, wenn die betroffene Person dies nicht wünscht.
  • Das Unternehmen muss sicherstellen, dass die betroffenen Personen ihre Rechte frei ausüben können und dass die personenbezogenen Daten der betroffenen Personen nicht öffentlich zugänglich gemacht werden (es sei denn, sie haben ihre Zustimmung gegeben).
  • Um zu klären, was diese beiden Variablen sind und wie sie unterschieden werden können, bietet Artikel 25 der Datenschutz-Grundverordnung weitere Informationen.

    • Es zeigt sich, dass sowohl der „eingebaute Datenschutz“ als auch der „natürliche Datenschutz“ Hand in Hand gehen, um sicherzustellen, dass die betroffene Person mehr Kontrolle über ihre personenbezogenen Daten hat – das Hauptziel der Datenschutz-Grundverordnung. Letztendlich drängen sowohl der „natürliche“ Datenschutz als auch das Datenschutzdesign die Unternehmen dazu, den betroffenen Personen mehr Offenheit im Umgang mit personenbezogenen Daten zu gewähren.

    Abgesehen von der Einhaltung der Verordnung könnten die Unternehmen, die die Vorschriften einhalten, auch in anderer Hinsicht von einer datenschutzfreundlichen Kultur profitieren.

    Weitere Vorteile des eingebauten Datenschutzes oder des standardmäßigen Datenschutzes

    Da die Rechenschaftspflicht und die Einhaltung der DSGVO weiterhin ein wichtiges Verkaufsargument für Unternehmen sind, sollte das Unternehmen entscheiden, wie transparent es gegenüber den betroffenen Personen in Bezug auf seine Datenverarbeitungstätigkeiten sein möchte. Da die Nachfrage nach dieser Offenheit steigt, können die Verpflichtungen der DSGVO leicht als Anreiz und nicht als Hindernis betrachtet werden.

    Es kann auch hilfreich sein, Risiken und Chancen im Voraus zu definieren, indem man eine Datenschutz-Folgenabschätzung (Data Privacy Impact Assessment, DFA) durchführt. DFA können es Organisationen auch ermöglichen, ihre Überlegungen zum Datenschutz durch Voreinstellungen und Datenschutz durch Design weiter anzupassen.

    Wenn man sich die Zeit nimmt, erfolgreich zu bestimmen, was benötigt wird, wie es erreicht werden kann, und – was ebenso wichtig ist – sicherstellt, dass die Zielgruppe über diese Entscheidungen informiert ist, kann man einen weiten Weg in Bezug auf die Durchsetzungsbemühungen der Organisation und die Effizienz, dies zu tun, gehen.

    Eine Verpflichtung und eine Chance

    Von Organisationen, die mit personenbezogenen Daten umgehen, wird erwartet, dass sie angemessene Maßnahmen zum Schutz dieser Daten ergreifen. Die Befolgung eines Ansatzes zum Schutz der Privatsphäre durch Voreinstellungen oder zum Schutz der Privatsphäre durch Technik oder beides kann jedoch mehr bedeuten als nur die Einhaltung einer Verpflichtung.

    Letztlich bieten die beiden Datenschutzmethoden die Möglichkeit, die Rolle Ihrer Organisation in Bezug auf Verantwortlichkeit, Zuverlässigkeit und Gesamtleistung weiter zu verbessern.