“Privacy by Design“ und “Privacy by Default” sind eng miteinander verknüpft. Wie Sie durch den Einsatz der beiden Konzepte das Risiko von Datenschutzverletzungen auf ein Minimum reduzieren, was Sie als Unternehmen beachten müssen und wie Privacy by Design bei Materna Virtual Solution umgesetzt wird, lesen Sie hier:
Was ist Privacy by Design?
Privacy by Design ist gerade in Hinblick auf die DSGVO sehr aktuell, dabei gehen die Ursprünge bereits in die 1990er Jahre zurück. Grundsätzlich bedeutet Privacy by Design, dass Datenschutz und Privatsphäre schon vor und während der Entwicklung und Gestaltung von Produkten, Diensten oder Anwendungen wie beispielsweise Apps einbezogen werden. Im Gegensatz dazu wird bei vielen Lösungen der Datenschutz erst nachträglich eingebaut und ist damit nicht Teil des Design-Prozesses. Das Risiko von Datenschutzverletzungen soll durch Privacy by Design auf ein Minimum reduziert werden.
Was ist Privacy by Default?
Privacy by Default bezieht sich auf die Privatsphäre der Nutzer. Standardeinstellungen von Lösungen sollten grundsätzlich datenschutzkonform sein, der User sollte sich also nicht aktiv um sein Recht auf Privatsphäre bzw. Datenschutz kümmern müssen. Denn es kann nicht davon ausgegangen werden, dass alle Anwender über ausreichende IT-Kenntnisse verfügen, um entsprechende Einstellungen vorzunehmen.
Zum anderen umfasst dieses Prinzip auch den Grundsatz der Datensparsamkeit, also so wenig Daten wie möglich zu erheben und diese so gut wie möglich zu schützen, beispielsweise durch Verschlüsselung. Daten dürfen zudem nicht ohne konkreten Zweck erhoben werden.
Privacy by Design & DSGVO
Die DSGVO nennt Privacy by Design und Privacy by Default explizit in Artikel 25 als „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“. Bei Nichtbeachtung können hohe Geldstrafen bis zu 20 Millionen Euro bzw. 4% des weltweiten Unternehmensumsatzes fällig werden.
Die DSGVO schreibt daher den Einsatz von technischen und organisatorischen Maßnahmen (kurz: TOMs) vor, die Unternehmen durchführen und dokumentieren müssen, um Privacy by Design zu gewährleisten. Dabei werden allerdings keine Standardlösungen oder -vorgehen genannt, generell müssen aber folgende Punkte beachtet werden:
- Datenminimierung
- Pseudonymisierung personenbezogener Daten
- Überwachung der Verarbeitung personenbezogener Daten durch den Nutzer
- Transparenz in Bezug auf die Funktion und Verarbeitung personenbezogener Daten
- Schaffen und Verbessern von Sicherheitsfunktionen
Datenschutz muss nicht nur beim Datenschutzbeauftragten im Unternehmen an erster Stelle stehen, sondern auch bei allen anderen Mitarbeitern, die bei der Auswahl oder Entwicklung von IT-Lösungen beteiligt sind und/oder mit personenbezogenen Daten arbeiten.