13. Januar 2025 Wolfgang Fiala und Peter Gelber *

Datenschutz: Privacy by Design versus Privacy by Default 

Ein Teilbereich der DSGVO ist der Datenschutz durch Technikgestaltung. Das bedeutet, dass Verantwortliche verpflichtet sind, geeignete technische und organisatorische Maßnahmen sowie die erforderlichen Sicherheitsvorkehrungen bei der Datenverarbeitung zu treffen. [...]

Privacy by Design 

Im Art. 25 Absatz 1 DSGVO wird der Datenschutz durch Technikgestaltung wie folgt definiert: „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie zum Beispiel Pseudonymisierung – , die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.“

Interpretation der Autoren 

Der Verantwortliche ist daher verpflichtet, geeignete technische und organisatorische Maßnahmen sowie die erforderlichen Sicherheitsvorkehrungen bei der Verarbeitung zu treffen. Die Maßnahmen können vom Einsatz modernster technischer Lösungen bis hin zu grundlegende Schulungen der Mitarbeiter (beispielsweise im Umgang mit Kundendaten) reichen. Aber auch die Gewährleistung der Rechte der Betroffenen sowie die Pseudonymisierung werden als weitere Maßnahmen genannt. 

Privacy by Default 

Die Definition der datenschutzfreundlichen Voreinstellungen findet sich in Art. 25 Abs. 1 DSGVO wie folgt: „Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung sowie ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.“

Guidelines des Europäischen Datenschutzausschusses

Der Europäische Datenschutzausschuss (European Data Protection Board, auf Deutsch mit EDSA abgekürzt) hat am 20. 11. 2019 Guidelines veröffentlicht. Dabei handelt es sich um allgemeine Leitlinien zur Verpflichtung zum Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen. Dieser Beitrag zitiert (unter Apostroph) Auszüge aus den Guidelines und interpretiert Auszüge aus den Guidelines:

„In einer zunehmend digitalisierten Welt spielt die Einhaltung der Anforderungen im Zusammenhang mit Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (in englischer Sprachfassung „Data Protection by Design and by Default“, kurz DPbDD – auf Deutsch „Technikgestaltung und Voreinstellung“) eine wesentliche Rolle bei der Förderung der Privatsphäre und des Datenschutzes in der Gesellschaft. Daher ist es von grundlegender Bedeutung, dass die Verantwortlichen diese Verantwortung ernst nehmen und die Verpflichtungen gemäß DSGVO bei der Gestaltung von Verarbeitungsvorgängen umsetzen.“

Orientierungshilfe 

Diese Leitlinien bieten eine allgemeine Orientierungshilfe in Bezug auf die Verpflichtung zur Verarbeitung personenbezogener Daten gemäß Artikel 25 der Datenschutz-Grundverordnung. Diese Verpflichtung gilt für alle Verantwortlichen, unabhängig vom Umfang und der Komplexität der Verarbeitung. Um die Anforderungen des DPbDD erfüllen zu können, ist es von entscheidender Bedeutung, dass die Verantwortlichen die Grundsätze des Datenschutzes verstehen und die Rechte und Freiheiten der betroffenen Personen kennen. Insbesondere wird klargestellt, dass die Einhaltung der Grundsätze für alle Verantwortlichen unabhängig von ihrer Größe und Struktur gilt, so dass kleine Unternehmen ebenso betroffen sind wie internationale Konzerne. 

Garantien 

Die zentrale Verpflichtung besteht darin, durch Technikgestaltung und Voreinstellungen geeignete Maßnahmen und die erforderlichen Garantien für eine wirksame Umsetzung der Datenschutzgrundsätze und damit für den Schutz der Rechte und Freiheiten der betroffenen Personen zu treffen. Die Guidelines interpretieren den Artikel 25 Absatz 1 DSGVO wie folgt:  

„Die für die Verarbeitung Verantwortlichen sollten DPbDD frühzeitig berücksichtigen, wenn sie einen neuen Verarbeitungsvorgang planen. Die Verantwortlichen müssen DPbDD vor der Verarbeitung implementieren und durch regelmäßige Überprüfung der Wirksamkeit der gewählten Maßnahmen und der gewählten Maßnahmen und Garantien kontinuierlich während der Verarbeitung sicherzustellen. DPbDD gilt auch für bestehende Systeme, in denen personenbezogene Daten verarbeitet werden.“

Datenschutzgrundsätze 

Die Guidelines enthalten auch Anforderungen für die wirksame Umsetzung der in Artikel 5 genannten Datenschutzgrundsätze, indem sie die wichtigsten Aspekte der technischen Gestaltung und der Voreinstellungen aufführen und praktische Fälle zur Veranschaulichung beschreiben. Der für die Verarbeitung Verantwortliche prüft die Angemessenheit der vorgeschlagenen Maßnahmen im Hinblick auf die konkrete Verarbeitung. 

Nachweispflichten 

§ 2.1.2 der Guidelines befasst sich vor allem mit der Wirksamkeit der Umsetzung und insbesondere mit den Nachweispflichten. Demnach müssen die Verantwortlichen nachweisen können, dass sie die spezifischen Maßnahmen getroffen haben, die erforderlich sind, um die Rechte und Freiheiten der betroffenen Personen zu schützen. Es reicht also nicht aus, allgemeine Maßnahmen zu ergreifen. Vielmehr muss jede getroffene Maßnahme zum Schutz der Rechte der betroffenen Personen auch tatsächlich wirksam sein.  

Beispiele 

Der Der Europäische Datenschutzausschuss führt in seinen Guidelines folgende Beispiele an: 

Empfehlungen des Europäischen Datenschutzausschusses 

Abschließend werden in § 6 die Schlussfolgerungen und Empfehlungen des Europäischen Datenschutzausschusses dargelegt. Hier sind insbesondere zu nennen: 

  • Auftragsverarbeiter und Hersteller werden in Artikel 25 zwar nicht direkt erwähnt, sie gelten jedoch im Hinblick auf die Umsetzung des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen als wichtige Akteure, denen bewusst sein sollte, dass für die Verarbeitung personenbezogener Daten Verarbeitung personenbezogener Daten nur Systeme und Techniken mit eingebautem Datenschutz verwenden dürfen. 
  • Technologieanbieter sollten sich bemühen, die Verantwortlichen bei der Einhaltung der Grundsätze zu unterstützen.  
  • Verantwortliche sollten keine Anbieter wählen, die keine Möglichkeit zur Einhaltung von Artikel 25 DSGVO bieten, da Verantwortliche für die mangelnde Umsetzung haften. 
  • Technologieanbieter sollten eine aktive Rolle bei der Einhaltung der Kriterien für den „Stand der Technik“ spielen und die Verantwortlichen über alle relevanten Änderungen diesbezüglich informieren, die sich auf die Wirksamkeit der von ihnen getroffenen Maßnahmen auswirken könnten. 
  • Die für die Verarbeitung Verantwortlichen sollten bei der Auswahl eines Anbieters und bei der Planung nicht nur die Kosten berücksichtigen, sondern auch die potenziellen Kosten von Bußgeldern aufgrund der Nichteinhaltung der Datenschutz-Grundverordnung in Betracht ziehen. 
  • Der Europäische Datenschutzausschuss ermutigt die Technologieanbieter, die Möglichkeit zu nutzen, datenschutzfreundliches Design und datenschutzfreundliche Voreinstellungen als Wettbewerbsvorteil zu betrachten. 
  • Den Verantwortlichen wird empfohlen, von den Technologieanbietern Rechenschaft darüber zu verlangen, wie sie den Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen umgesetzt haben. 
  • Die Verantwortlichen sollten gegenüber den Betroffenen Transparenz über die Datenverarbeitung herstellen. 

Schlussbemerkung  

Aufgrund der aktiveren Ahndung von Verstößen durch die Aufsichtsbehörden und der allgemein steigenden durchschnittlichen Bußgelder sollten Verantwortliche ihre Prozesse, Produkte und Dienstleister stets kritisch daraufhin überprüfen, ob durch Technikgestaltung und datenschutzfreundliche Voreinstellungen ein Mindestmaß an Datenschutz eingehalten wird. Dabei sind neben den direkten Kosten der Umsetzung/Anpassung auch die möglichen Folgen bei Nichtbeachtung zu berücksichtigen und einzukalkulieren.

Das Tagebuch wird von der DSGVO-zt GmbH zur Verfügung gestellt, die übrigens von der österreichischen Datenschutzbehörde vor Kurzem als erste behördlich anerkannte Zertifizierungsstelle nach Artikel 42 für DSGVO-Zertifikate akkreditiert wurde. Das vorige Kapitel aus der Reihe „Tagebuch eines Datenschutzbeauftragten“, finden Sie hier.

Ein Bild, das Menschliches Gesicht, Kleidung, Person, Mann enthält. Automatisch generierte Beschreibung Ein Bild, das Menschliches Gesicht, Kleidung, Person, Mann enthält. Automatisch generierte Beschreibung 
DI Dr. Peter Gelber DI Wolfgang Fiala 

Mehr Artikel

Be the first to comment

Leave a Reply

Your email address will not be published.


*