Arbeitsplatz eines Entwicklers mit zwei Monitoren

Bereits in den 90er Jahren entwickelte Ann Cavoukian, als ehemaligen Informationsfreiheits- und Datenschutzbeauftragten der kanadischen Provinz Ottawa, das Konzept des Privacy by Design im Zuge der Datenschutzdebatte. Sie vertritt hierbei den Ansatz, dass Datenschutz und Privatsphäre schon in der Entwicklung von Technik beachtet werden müssen. Aus Ihren Überlegungen ergaben sich Sieben Prinzipien von „Privacy by Design“, welche 2012 in den Entwurf für die Datenschutzgrundverordnung der EU-Kommission einflossen (heise.de). Die Grundsätze verpflichten die Verantwortlichen durch zielführende Gestaltung des technischen Systems den Datenschutz zu gewährleisten, sowie durch technische und organisatorische Maßnahmen datenschutzfreundliche Voreinstellungen vorzunehmen, welche die Privatsphäre der Einzelperson sowie deren personenbezogene Daten schützen. Darüber hinaus sind die Verantwortlichen angehalten nur jene personenbezogenen Daten zu beziehen, welche für den tatsächlichen Verarbeitungszweck erforderlich sind.

Sieben Prinzipien von „Privacy by Design“

1. Vorbeugung statt nachgelagerter Schadensbegrenzung

 „Privacy by Design“ verfolgt einen proaktiven Ansatz, sodass nicht erst bei Verletzung der Privatsphäre reagiert wird, sondern aktiv einer Verletzung derselben Vorgebeugt wird. Dies bedeutet das mögliche Ereignisse vorausgesehen werden müssen, um ein vordringen in die Privatsphäre zu verhindern.

2. Datenschutz als Systemstandard

Der Schutz der Daten sowie der Privatsphäre einer Einzelperson ist systemimmanent, d.h. der Schutz der Einzelperson ist selbstverständlich und dem betreffenden System dazugehörig. Die Einzelperson selbst ist nicht für den eigenen Schutz zuständig, sondern muss durch das System geschützt sein. Das bedeutet, dass personenbezogene Daten nur durch aktive Einwilligung per Opt-In an Dritte weitergegeben werden. Vorausgefüllte Checkboxen zur Einwilligung sind nicht zulässig.

3. Datenschutz als Bestandteil des Designs

Die Architektur der IT-Systeme, sowie das Design sowie die Geschäftsprozesse müssen den Datenschutz gewährleisten und für dessen Durchsetzung stehen. Der Datenschutz muss als Kernfunktionalität verstanden werden, die dem Grundsystem innewohnt.

4. Volle Funktionalität bei voller Datensicherheit

Sicherheit und Datenschutz dürfen nicht die berechtigten Interessen und Zielen der Einzelperson im Umgang behindern. Funktionalität kann nicht durch vorgetäuschte Schutzschranken eingegrenzt werden. Vielmehr müssen Wege gefunden werden, um den vollen Funktionsumfang bei voller Datensicherheit zu gewährleisten.

5. Datenschutz als immerwährender Lebenszyklus

Starke Sicherheitsmaßnahmen sind für die Wahrung der Privatsphäre der Einzelperson sowie seiner Daten unerlässlich. Nur durch ständiges hinterfragen des Systems sowie Optimierung kann ein Schutz gewährleistet werden. Der Privacy by Design-Ansatz muss alle Lebenszyklen der Daten durchdringen.

6. Offenheit durch Sichtbarkeit und Transparenz

Entwickelte Maßnahmenkataloge zur Wahrung der Datensicherheit müssen einer unabhängigen Prüfung standhalten, sodass die angekündigten Vorkehrungen und Ziele eingehalten und konsequent verfolgt werden. Eine reine Ankündigung das die Datensicherheit gewahrt wird, reicht somit im Grunde nicht.

7. Wahrung der Privatsphäre durch anwenderorientierte Gestaltung

Das Interesse der Einzelperson und die Wahrung dessen Daten müssen bei Design und Architektur des Systems stets an erster Stelle stehen. Durch nutzerzentrierte Gestaltung sollen alle notwendigen Vorkehrungen getroffen werden, welche maximale Sicherheit gewährleisten.

Fazit: Privacy by Design und die Datenschutz­grundverordnung in Web- und Softwareprojekten

Von Anfang an sollten Ansatzpunkte des Privacy by Design in Bezug zur  Datenschutzgrundverordnung in die Projektplanung einfließen. Über den gesamten Entwicklungsprozess hinweg sollte somit an einem optimalen Design, Code und Aufbau gearbeitet werden. Ziel ist es eine solide Basis zu schaffen, sodass nach Abschluss der Entwicklung keine Features implemtiert werden müssen, welche sich auf die grundlegende Architektur auswirken und teure Nacharbeiten abverlangen.

Weitere Artikel zum Thema DSGVO

Hier finden Sie unsere Artikel zum Thema Datenschutzgrundverordnung (DSGVO). Unsere Artikelliste wird kontinierlich fortgesetzt.

Bildquelle: © Farzad Nazifi | Coding workstation - unsplash.com

 

 


Dieser Artikel erhebt keinen Anspruch auf Richtigkeit und Vollständigkeit. Wir möchten darauf hinweisen, dass wir keine Rechtsberatung vornehmen. Wir möchten einzig unsere Eindrücke zu dem Sachverhalt schildern und Sie auf etwaige Entwicklungen hinweisen.

Redaktion, 20.02.2018