Privacy by design und Privacy by default

Vorbemerkungen

In Zeiten der Digitalisierung steigt die Menge erfasster Daten sowie datenverarbeitender Anwendungen stetig. Dies führt wiederum dazu, dass die Wahrung eines angemessenen Persönlichkeitsschutzes maßgeblich von der jeweiligen Technikgestaltung abhängt. Im Hinblick auf die Gestaltung von Systemen, angefangen bei der Produktentwicklung bis hin zu ihrer Implementierung, wurden daher bereits in der Vergangenheit zunehmend die Ansätze Datenschutz durch Technik („privacy by design“) und datenschutzfreundliche Voreinstellungen („privacy by default“) thematisiert.

Was sagt die DS-GVO?

Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) im Mai 2016 haben diese Gestaltungsprinzipien nun auch ihren gesetzlichen Niederschlag gefunden (vgl. Art. 24, 25 DS-GVO). Die Berücksichtigung von „privacy by design“ und „privacy by default“ ist damit kein Nice-to-have mehr. Vielmehr handelt es sich um eine explizite Anforderung an die Entwicklung und Implementierung von Produkten zur Verarbeitung personenbezogener Daten mit dem Ziel, das Prinzip der Datenvermeidung und Datensparsamkeit in Verarbeitungssystemen wirksam umzusetzen. Oder anders gesagt: Damit der Datenschutz nicht von der technischen Entwicklung abgehängt wird, sind Produkte und Systeme frühzeitig um angemessene Datenschutzfunktionen zu ergänzen, so dass das Risiko datenschutzkritischer Entwicklungen, die unmittelbar aus der Nutzung technischer Systeme resultieren, von vornherein verringert wird (z. B. durch frühzeitige Pseudonymisierung der Daten).

Empfehlungen, inwiefern, d. h. mit welchen Strategien Datenschutz im Wege von „privacy by design“ in Produkten und Systemen verankert werden kann, hat die Europäische Agentur für Netz- und Informationssicherheit (ENISA) im Hinblick auf die DS-GVO bereits in einem Bericht vom Dezember 2014 veröffentlicht. Die Umsetzungsmöglichkeiten spiegeln sich dabei in den folgenden acht Strategien wider:
  1. MINIMISE: Bei diesem Punkt geht es um die Forderung nach Datensparsamkeit. Es sollen demnach keine oder zumindest keine unnötigen personenbezogenen Daten gesammelt und ihre Verarbeitung auf ein Minimum beschränkt werden. Wichtig ist daher also immer die Beantwortung der Frage, ob die Verarbeitung personenbezogener Daten zur Erreichung des jeweiligen Zwecks erforderlich ist oder ob dieser nicht auch auf anderem Wege erreicht werden kann.

  2. HIDE: Grundgedanke dieser Strategie ist es, einem Missbrauch personenbezogener Daten in der Form entgegen zu wirken, dass diese schlicht nicht mehr zur Kenntnis genommen werden können. Ziel ist dabei die Schaffung von Unverfolgbarkeit, Unbeobachtbarkeit sowie Unverknüpfbarkeit. An dieser Stelle spielen also beispielsweise die Pseudonymisierung und Anonymisierung personenbezogener Daten eine entscheidende Rolle.

  3. SEPARATE: Diese Empfehlung bezieht sich auf eine verteilte Datenhaltung, d. h. Daten zu einer Person sollten möglichst an verschiedenen Orten gespeichert und verarbeitet werden. So kann die Erstellung umfassender Profile verhindert werden.

  4. AGGREGATE: Personenbezogene Daten sollten so früh wie möglich zu Gruppen zusammengefasst werden. Die Rückschlussmöglichkeiten auf einzelne Personen können so minimiert bzw. gänzlich ausgeschlossen werden.

  5. INFORM: Diese Strategie spiegelt den datenschutzrechtlichen Grundsatz der „Transparenz“ wider. Wenn Personen ein System verwenden, so sollen sie darüber informiert werden, welche Daten über sie gesammelt werden, zu welchem Zweck und mit welchen Technologien. Auch sind sie darüber zu unterrichten, wie diese Daten geschützt werden und ob eine Datenweitergabe an Dritte erfolgt. Ferner sind sie über ihre Datenzugriffsrechte und deren Ausübung zu informieren.

  6. CONTROL: Betroffene sollten die Kontrolle über die Verarbeitung ihrer personenbezogenen Daten erhalten. Faktoren wie z. B. die Bearbeitung von Datenschutzeinstellungen über Benutzeroberflächen sowie eine insgesamt benutzerzentrierte Gestaltung spielen dabei eine maßgebliche Rolle.

  7. ENFORCE: Es sollte eine den rechtlichen Anforderungen entsprechende Datenschutzrichtlinie, d. h. ein Regelwerk zum Schutz der Privatsphäre der betroffenen Personen vorhanden sein und umgesetzt werden. Dies impliziert zumindest, dass geeignete technische Schutzmechanismen bestehen, die Datenverletzungen verhindern.

  8. DEMONSTRATE: Der Verantwortliche sollte dazu in der Lage sein, die Einhaltung der datenschutzrechtlichen Vorgaben und aller weiteren gesetzlichen Bestimmungen nachzuweisen. Diese Strategie geht damit einen Schritt weiter als die ENFORCE-Strategie.

Wurden die datenschutzrechtlichen Anforderungen beim Erwerb von IT-Produkten und bei werkvertraglichen oder eigenen Individualentwicklungen bislang also eher vernachlässigt, so sind diese nun ausdrücklich zu berücksichtigen. Dies gilt umso mehr, da gegenüber der verantwortlichen Stelle nunmehr ein Bußgeld von bis zu 10.000.000 EUR verhängt werden kann (vgl. Art. 83 Abs. 4 a DS-GVO), wenn diese sich trotz der Existenz datenschutzkonformer Alternativen für den Einsatz datenschutzkritischer IT-Lösungen entscheidet.