MENU
Kurz nachgefragt

Was ist Privacy by Design?

© iStock

23. Januar 2018

Bislang stand der Datenschutz bei der Software­entwicklung oft an letzter Stelle. Privacy by Design soll das ändern. Durch die Daten­schutz-Grund­verordnung (DSGVO) wird das Prinzip sogar ab 25. Mai 2018 für Unternehmen verpflichtend. Jörg Schlißke erklärt, was hinter dem Konzept steckt und wie es den Daten­schutz für Nutzer verbessern soll.

#explore: Was ist Privacy by Design?
Jörg Schlißke: Privacy by Design bedeutet, dass der Daten­schutz bereits bei der Konzipierung und Entwicklung von Soft­ware und Hard­ware zur Daten­verarbeitung berücksichtigt wird. Durch benutzer­freundliche Voreinstellungen sollen dabei ausschließlich Daten erhoben werden, die für den jeweiligen Verarbeitungs­zweck erforderlich sind, um möglichst wenig in die Schutz­rechte der betroffenen Nutzer einzugreifen. Bei einem Vertrag mit einem Onlinehändler wären das etwa Name, Anschrift und Konto­verbindung.

„Ein Unternehmen darf von seinen Angestellten nur Informationen erfassen, die für die Durchführung des Beschäftigungsverhältnisses unverzichtbar sind.“

Jörg Schlißke

#explore: Und was bedeutet es für Unternehmen?
Jörg Schlißke: Ein Unternehmen darf von seinen Angestellten nur Informationen erfassen, die für die Durch­führung des Beschäftigungs­verhältnisses unverzichtbar sind. Daten­vermeidung und Daten­spar­samkeit sind hier die Stich­worte. Entwickelt ein Unter­nehmen eine Software zur Daten­verarbeitung, muss es bei der Entwicklung Sorge tragen, dass etwa eine Lösch­konzeption umgesetzt wird oder nicht unbedingt erforderliche Daten­felder anonymisiert beziehungs­weise pseudonymisiert werden. Dieses Grund­prinzip der Erforderlichkeit ist bereits im Bundes­daten­schutz­gesetz (BDSG) angelegt. Privacy by Design ist dabei eng verbunden mit Privacy by Default, was zu Deutsch „Daten­schutz ab Werk“ bedeutet. Geräte und Web­dienste müssen demnach von Haus aus mit daten­schutz­freundlichen Voreinstellungen ausgestattet sein. Bislang mussten Nutzer oft umständlich und manuell einer automatischen Nutzung ihrer Daten etwa für Werbe­zwecke wider­sprechen (Opt-out). Das war beispiels­weise bei Facebooks Aktualisierung der Daten­schutz­erklärung 2015 der Fall.

#explore: Könnten Sie das in einem weiteren Beispiel noch etwas genauer beschreiben?
Jörg Schlißke: Als Umsetzungsbeispiel für das Prinzip Privacy by Default sind Tracking-Einstellungen von Internet Browsern zu nennen. Hier teilt der Browser den besuchten Webseiten automatisch mit, dass der Benutzer nicht verfolgt werden soll. Der Anwender kann dann selbst diese Schutz­funktion ausschalten und dem Tracking zustimmen, wenn er das will – man spricht hier von Opt-in. Das stärkt die Wahl­freiheit der Nutzer. Sie können zukünftig selbst entscheiden, welche Daten sie Unter­nehmen über das nötige Maß hinaus zur Verfügung stellen.

„Verstoßen Unternehmen gegen die Datenschutzvorgaben, können die Aufsichtsbehörden ab Mai 2018 Bußgelder von bis zu 20 Millionen Euro erheben.“

Jörg Schlißke

#explore: Durch die Datenschutz-Grundverordnung (DSGVO) werden Privacy by Design und Privacy by Default ab Mitte Mai 2018 gesetzlich verpflichtend. Was ändert sich dadurch für Unter­nehmen?
Jörg Schlißke: Die Unternehmen sind jetzt gefordert. Grundsätzlich enthält zwar bereits das BDSG Vorgaben zu Privacy by Design im Sinne der Daten­vermeidung und Daten­spar­samkeit. Allerdings blieb es bei einem sogenannten Programm­satz, einer Art Absichts­erklärung. Verstöße konnten nur bedingt sanktioniert werden. Das ändert sich mit dem Inkraft­treten der Datenschutz-Grundverordnung. Verstoßen Unter­nehmen gegen die Datenschutz­vorgaben, können die Aufsichts­behörden ab Mai 2018 Buß­gelder von bis zu 20 Millionen Euro erheben und zudem eine Gewinn­abschöpfung von bis zu vier Prozent des konzernweiten Jahres­umsatzes vornehmen – und zwar nach dem Standort­prinzip. Auch ausländische Unternehmen mit einer Nieder­lassung in Europa fallen demnach unter die Vorgaben der DSGVO und können sanktioniert werden. Und dieser Sanktions­rahmen wird auch ausgeschöpft werden, das wissen wir aus unseren Gesprächen mit den Aufsichts­behörden. Unternehmen sollten also nicht abwarten und darauf hoffen, dass sich die Datenschutz-Grundverordnung als zahnloser Papiertiger erweist. Als Beleg dafür, dass sie ihren Garantie­verpflichtungen nachkommen, können sich die Firmen zukünftig einem genehmigten Zertifizierungs­verfahren unterziehen lassen. Zertifizierbar sind allerdings nur gewisse Kern­merkmale der DSGVO wie Privacy by Design und Privacy by Default.

#explore: Was ändert sich für die Nutzer?
Jörg Schlißke: Die Rechte der Nutzer werden insgesamt gestärkt. Sie können zukünftig ihre Betroffenen­rechte auch in dem Land geltend machen, in dem die Daten erhoben wurden – sprich grenz­über­greifender Handel. Gestärkt wurde zusätzlich ihr Auskunfts­recht über Art, Menge und Verwendung der gespeicherten Daten. Auch der Anspruch auf Korrektur oder Löschung fälschlich erhobener Daten wurde gestärkt. Zudem wurde die Transparenz­pflicht von Unternehmen verschärft. Das ist ein wichtiger Zugewinn für Nutzer: Datenschutz­erklärungen waren ja bislang oft sehr kompliziert und umfangreich. Zukünftig müssen Betreiber von Webseiten, sozialen Netzwerken oder Handels­plattformen ihre Datenschutz­erklärungen sprachlich so anpassen, dass auch Minder­jährige und nicht rechts­fähige Personen sie verstehen können. Was noch aussteht, ist die Reform der E-Privacy-Verordnung, die mit der Datenschutz­verordnung korrespondiert. Diese bezieht sich zunächst nicht auf natürliche Personen, also auf Nutzer. Wird aber etwa über eine Webseite ein Bezug zu einer natürlichen Person hergestellt, dann gilt die E-Privacy-Verordnung als Spezial­norm vorrangig gegenüber der Datenschutz-Grundverordnung. Aktuell gilt hier noch die alte Datenschutz­richtlinie von 1995. Es gibt den Entwurf einer Novellierung, der allerdings noch nicht verabschiedet ist. Damit eine lücken­lose und voll­umfängliche Durchsetzung der Datenschutz-Grundverordnung gewährleistet werden kann, muss der Gesetz­geber hier nach­bessern.

ZUR PERSON

Jörg Schlißke ist Produktmanager für Datenschutz-Qualifizierung bei TÜViT und beschäftigt sich seit 2011 mit Privacy by Design und Privacy by Default. Mit seinem Team ist der Wirtschafts­jurist verantwortlich für Daten­schutz­beratung, Daten­schutz­begutachtung und Zertifizierung zum Daten­schutz und zur Daten­sicherheit. Zudem ist er Leiter der Fachstelle für Daten­schutz­sachverständige beim Unabhängigen Landes­zentrum für Daten­schutz in Schleswig-Holstein.

Cookies-Einstellungen
Wir möchten die Informationen auf dieser Webseite und auch unsere Leistungsangebote auf Ihre Bedürfnisse anpassen. Zu diesem Zweck setzen wir sog. Cookies ein. Entscheiden Sie bitte selbst, welche Arten von Cookies bei der Nutzung unserer Website gesetzt werden sollen. Die Arten von Cookies, die wir einsetzen, werden unter „Details“ beschrieben. Weitere Informationen erhalten Sie in unserer Datenschutzerklärung.
Details anzeigen