Bereits in den 90er Jahren entwickelte Ann Cavoukian, als ehemaligen Informationsfreiheits- und Datenschutzbeauftragten der kanadischen Provinz Ottawa, das Konzept des Privacy by Design im Zuge der Datenschutzdebatte. Sie vertritt hierbei den Ansatz, dass Datenschutz und Privatsphäre schon in der Entwicklung von Technik beachtet werden müssen. Aus Ihren Überlegungen ergaben sich Sieben Prinzipien von „Privacy by Design“, welche 2012 in den Entwurf für die Datenschutzgrundverordnung der EU-Kommission einflossen (heise.de). Die Grundsätze verpflichten die Verantwortlichen durch zielführende Gestaltung des technischen Systems den Datenschutz zu gewährleisten, sowie durch technische und organisatorische Maßnahmen datenschutzfreundliche Voreinstellungen vorzunehmen, welche die Privatsphäre der Einzelperson sowie deren personenbezogene Daten schützen. Darüber hinaus sind die Verantwortlichen angehalten nur jene personenbezogenen Daten zu beziehen, welche für den tatsächlichen Verarbeitungszweck erforderlich sind.
Sieben Prinzipien von „Privacy by Design“
1. Vorbeugung statt nachgelagerter Schadensbegrenzung
„Privacy by Design“ verfolgt einen proaktiven Ansatz, sodass nicht erst bei Verletzung der Privatsphäre reagiert wird, sondern aktiv einer Verletzung derselben Vorgebeugt wird. Dies bedeutet das mögliche Ereignisse vorausgesehen werden müssen, um ein vordringen in die Privatsphäre zu verhindern.
2. Datenschutz als Systemstandard
Der Schutz der Daten sowie der Privatsphäre einer Einzelperson ist systemimmanent, d.h. der Schutz der Einzelperson ist selbstverständlich und dem betreffenden System dazugehörig. Die Einzelperson selbst ist nicht für den eigenen Schutz zuständig, sondern muss durch das System geschützt sein. Das bedeutet, dass personenbezogene Daten nur durch aktive Einwilligung per Opt-In an Dritte weitergegeben werden. Vorausgefüllte Checkboxen zur Einwilligung sind nicht zulässig.
3. Datenschutz als Bestandteil des Designs
Die Architektur der IT-Systeme, sowie das Design sowie die Geschäftsprozesse müssen den Datenschutz gewährleisten und für dessen Durchsetzung stehen. Der Datenschutz muss als Kernfunktionalität verstanden werden, die dem Grundsystem innewohnt.
4. Volle Funktionalität bei voller Datensicherheit
Sicherheit und Datenschutz dürfen nicht die berechtigten Interessen und Zielen der Einzelperson im Umgang behindern. Funktionalität kann nicht durch vorgetäuschte Schutzschranken eingegrenzt werden. Vielmehr müssen Wege gefunden werden, um den vollen Funktionsumfang bei voller Datensicherheit zu gewährleisten.
5. Datenschutz als immerwährender Lebenszyklus
Starke Sicherheitsmaßnahmen sind für die Wahrung der Privatsphäre der Einzelperson sowie seiner Daten unerlässlich. Nur durch ständiges hinterfragen des Systems sowie Optimierung kann ein Schutz gewährleistet werden. Der Privacy by Design-Ansatz muss alle Lebenszyklen der Daten durchdringen.
6. Offenheit durch Sichtbarkeit und Transparenz
Entwickelte Maßnahmenkataloge zur Wahrung der Datensicherheit müssen einer unabhängigen Prüfung standhalten, sodass die angekündigten Vorkehrungen und Ziele eingehalten und konsequent verfolgt werden. Eine reine Ankündigung das die Datensicherheit gewahrt wird, reicht somit im Grunde nicht.
7. Wahrung der Privatsphäre durch anwenderorientierte Gestaltung
Das Interesse der Einzelperson und die Wahrung dessen Daten müssen bei Design und Architektur des Systems stets an erster Stelle stehen. Durch nutzerzentrierte Gestaltung sollen alle notwendigen Vorkehrungen getroffen werden, welche maximale Sicherheit gewährleisten.
Fazit: Privacy by Design und die Datenschutzgrundverordnung in Web- und Softwareprojekten
Von Anfang an sollten Ansatzpunkte des Privacy by Design in Bezug zur Datenschutzgrundverordnung in die Projektplanung einfließen. Über den gesamten Entwicklungsprozess hinweg sollte somit an einem optimalen Design, Code und Aufbau gearbeitet werden. Ziel ist es eine solide Basis zu schaffen, sodass nach Abschluss der Entwicklung keine Features implemtiert werden müssen, welche sich auf die grundlegende Architektur auswirken und teure Nacharbeiten abverlangen.
Weitere Artikel zum Thema DSGVO
Hier finden Sie unsere Artikel zum Thema Datenschutzgrundverordnung (DSGVO). Unsere Artikelliste wird kontinierlich fortgesetzt.
- DATENSCHUTZGRUNDERORDNUNG (DSGVO): TECHNISCHE UND ORGANISATORISCHE SCHUTZMASSNAHMEN FÜR WEBSEITEN UND ONLINE-SHOP | 24.04.2018
- TICK TACK, DIE ZEIT WIRD KNAPP: CHECKLISTE ZUR DSGVO | 17.04.2018
- PRIVACY BY DESIGN UND DIE DATENSCHUTZGRUNDVERORDNUNG (DSGVO) | 20.02.2018
- DIE DATENSCHUTZGRUNDVERORDNUNG IM ONLINE-HANDEL: WELCHE ÄNDERUNGEN KOMMEN AUF ECOMMERCE-BETREIBER ZU? | 01.02.2018
Bildquelle: © Farzad Nazifi | Coding workstation - unsplash.com
Dieser Artikel erhebt keinen Anspruch auf Richtigkeit und Vollständigkeit. Wir möchten darauf hinweisen, dass wir keine Rechtsberatung vornehmen. Wir möchten einzig unsere Eindrücke zu dem Sachverhalt schildern und Sie auf etwaige Entwicklungen hinweisen.
, 20.02.2018
Zu diesem Beitrag findet noch keine Diskussion statt