Was ist Privacy by Design?

23. Januar 2018

Bislang stand der Datenschutz bei der Software­entwicklung oft an letzter Stelle. Privacy by Design soll das ändern. Durch die Daten­schutz-Grund­verordnung (DSGVO) wird das Prinzip sogar ab 25. Mai 2018 für Unternehmen verpflichtend. Jörg Schlißke erklärt, was hinter dem Konzept steckt und wie es den Daten­schutz für Nutzer verbessern soll.

#explore: Was ist Privacy by Design?
Jörg Schlißke: Privacy by Design bedeutet, dass der Daten­schutz bereits bei der Konzipierung und Entwicklung von Soft­ware und Hard­ware zur Daten­verarbeitung berücksichtigt wird. Durch benutzer­freundliche Voreinstellungen sollen dabei ausschließlich Daten erhoben werden, die für den jeweiligen Verarbeitungs­zweck erforderlich sind, um möglichst wenig in die Schutz­rechte der betroffenen Nutzer einzugreifen. Bei einem Vertrag mit einem Onlinehändler wären das etwa Name, Anschrift und Konto­verbindung.

#explore: Und was bedeutet es für Unternehmen?
Jörg Schlißke: Ein Unternehmen darf von seinen Angestellten nur Informationen erfassen, die für die Durch­führung des Beschäftigungs­verhältnisses unverzichtbar sind. Daten­vermeidung und Daten­spar­samkeit sind hier die Stich­worte. Entwickelt ein Unter­nehmen eine Software zur Daten­verarbeitung, muss es bei der Entwicklung Sorge tragen, dass etwa eine Lösch­konzeption umgesetzt wird oder nicht unbedingt erforderliche Daten­felder anonymisiert beziehungs­weise pseudonymisiert werden. Dieses Grund­prinzip der Erforderlichkeit ist bereits im Bundes­daten­schutz­gesetz (BDSG) angelegt. Privacy by Design ist dabei eng verbunden mit Privacy by Default, was zu Deutsch „Daten­schutz ab Werk“ bedeutet. Geräte und Web­dienste müssen demnach von Haus aus mit daten­schutz­freundlichen Voreinstellungen ausgestattet sein. Bislang mussten Nutzer oft umständlich und manuell einer automatischen Nutzung ihrer Daten etwa für Werbe­zwecke wider­sprechen (Opt-out). Das war beispiels­weise bei Facebooks Aktualisierung der Daten­schutz­erklärung 2015 der Fall.

#explore: Könnten Sie das in einem weiteren Beispiel noch etwas genauer beschreiben?
Jörg Schlißke: Als Umsetzungsbeispiel für das Prinzip Privacy by Default sind Tracking-Einstellungen von Internet Browsern zu nennen. Hier teilt der Browser den besuchten Webseiten automatisch mit, dass der Benutzer nicht verfolgt werden soll. Der Anwender kann dann selbst diese Schutz­funktion ausschalten und dem Tracking zustimmen, wenn er das will – man spricht hier von Opt-in. Das stärkt die Wahl­freiheit der Nutzer. Sie können zukünftig selbst entscheiden, welche Daten sie Unter­nehmen über das nötige Maß hinaus zur Verfügung stellen.

#explore: Durch die Datenschutz-Grundverordnung (DSGVO) werden Privacy by Design und Privacy by Default ab Mitte Mai 2018 gesetzlich verpflichtend. Was ändert sich dadurch für Unter­nehmen?
Jörg Schlißke: Die Unternehmen sind jetzt gefordert. Grundsätzlich enthält zwar bereits das BDSG Vorgaben zu Privacy by Design im Sinne der Daten­vermeidung und Daten­spar­samkeit. Allerdings blieb es bei einem sogenannten Programm­satz, einer Art Absichts­erklärung. Verstöße konnten nur bedingt sanktioniert werden. Das ändert sich mit dem Inkraft­treten der Datenschutz-Grundverordnung. Verstoßen Unter­nehmen gegen die Datenschutz­vorgaben, können die Aufsichts­behörden ab Mai 2018 Buß­gelder von bis zu 20 Millionen Euro erheben und zudem eine Gewinn­abschöpfung von bis zu vier Prozent des konzernweiten Jahres­umsatzes vornehmen – und zwar nach dem Standort­prinzip. Auch ausländische Unternehmen mit einer Nieder­lassung in Europa fallen demnach unter die Vorgaben der DSGVO und können sanktioniert werden. Und dieser Sanktions­rahmen wird auch ausgeschöpft werden, das wissen wir aus unseren Gesprächen mit den Aufsichts­behörden. Unternehmen sollten also nicht abwarten und darauf hoffen, dass sich die Datenschutz-Grundverordnung als zahnloser Papiertiger erweist. Als Beleg dafür, dass sie ihren Garantie­verpflichtungen nachkommen, können sich die Firmen zukünftig einem genehmigten Zertifizierungs­verfahren unterziehen lassen. Zertifizierbar sind allerdings nur gewisse Kern­merkmale der DSGVO wie Privacy by Design und Privacy by Default.

#explore: Was ändert sich für die Nutzer?
Jörg Schlißke: Die Rechte der Nutzer werden insgesamt gestärkt. Sie können zukünftig ihre Betroffenen­rechte auch in dem Land geltend machen, in dem die Daten erhoben wurden – sprich grenz­über­greifender Handel. Gestärkt wurde zusätzlich ihr Auskunfts­recht über Art, Menge und Verwendung der gespeicherten Daten. Auch der Anspruch auf Korrektur oder Löschung fälschlich erhobener Daten wurde gestärkt. Zudem wurde die Transparenz­pflicht von Unternehmen verschärft. Das ist ein wichtiger Zugewinn für Nutzer: Datenschutz­erklärungen waren ja bislang oft sehr kompliziert und umfangreich. Zukünftig müssen Betreiber von Webseiten, sozialen Netzwerken oder Handels­plattformen ihre Datenschutz­erklärungen sprachlich so anpassen, dass auch Minder­jährige und nicht rechts­fähige Personen sie verstehen können. Was noch aussteht, ist die Reform der E-Privacy-Verordnung, die mit der Datenschutz­verordnung korrespondiert. Diese bezieht sich zunächst nicht auf natürliche Personen, also auf Nutzer. Wird aber etwa über eine Webseite ein Bezug zu einer natürlichen Person hergestellt, dann gilt die E-Privacy-Verordnung als Spezial­norm vorrangig gegenüber der Datenschutz-Grundverordnung. Aktuell gilt hier noch die alte Datenschutz­richtlinie von 1995. Es gibt den Entwurf einer Novellierung, der allerdings noch nicht verabschiedet ist. Damit eine lücken­lose und voll­umfängliche Durchsetzung der Datenschutz-Grundverordnung gewährleistet werden kann, muss der Gesetz­geber hier nach­bessern.