In Gesprächen bekomme ich immer wieder mit, dass die Begrifflichkeiten Privacy by Design und Privacy by Default teilweise falsch gedeutet oder verstanden werden. Aus diesem Grund erkläre ich kurz und knapp beide Vorgaben der Datenschutzgrundverordnung (DSGVO) so, dass sie auch Nichtjuristen verstehen.

Datenschutz fängt schon bei der Entwicklung an

Die DSGVO beschreibt in der Überschrift des Art. 25 - Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen schon einiges.

Privacy by Design = Datenschutz durch Technikgestaltung
Das bedeutet, dass schon bei der Entwicklung von Hard- und Software der Datenschutz, Schutz von personenbezogene Daten (pbD), von Anfang an berücksichtigt wird. Dabei arbeiten Datenschutzexperten eng mit dem Entwicklerteam zusammen und achten auf eine DSGVO-konforme Umsetzung. Auch wenn das für Unternehmen im Bereich der Hard- und Softwareentwicklung einen Mehraufwand bedeutet, bringt dies auch Vorteile mit sich. Nutzer werden künftig genauer auf die DSGVO-Konformität von Hard- und Software achten und danach ihre Kaufentscheidungen treffen. Technische und organisatorische Maßnahmen (TOM) können somit viel schlanker ausfallen, wenn die Hard- und Software schon Datenschutz-konform entwickelt wurde.

Privacy by Default = Datenschutz durch datenschutzfreundliche Voreinstellungen
Das bedeutet, das bei der Inbetriebnahme von Hard- und Software in der Grundeinstellung Datenschutz, Schutz von pbD, betrieben wird. Entgegen der damaligen Facebook-Grundeinstellung “ich gebe Facebook auf alles Zugriff, macht mal …” wird nun die Privatsphäre geschützt. Oder auch das Bestätigen von irgendwelchen Zustimmungen durch ein schon gesetztes Häkchen gibt es nicht mehr. Man muss bewusst und vorsätzlich die Zustimmung erteilen und weiß hoffentlich somit, was man da macht.

Es geht um personenbezogene Daten

Privacy, also die Privatsphäre, soll schon vor der Erhebung von personenbezogenen Daten greifen bzw. entspannt nur noch auf die Daten warten. Wenn dann noch die Software die Pseudonymisierung und Verschlüsselung der personenbezogenen Daten durchführt, ist schon ein guter Teil der Vorgaben der DSGVO erledigt.

Fazit

Sowohl Privacy by Design als auch Privacy by Default sind kein nice to have (wäre schön es zu haben), sondern ein eindeutiges must have (Vorgabe) durch die DSGVO. Es ist also nichts mehr mit Aussuchen. Unternehmen stellen sich die Frage, wie setzen wir diese Vorgaben bestmöglich um? Spätestens die Datenschutzfolgenabschätzung in Unternehmen wird künftig aufzeigen, dass Hard- und Software, die nicht den Vorgaben der DSGVO entsprechen, nicht mehr länger tragbar sind. Die technischen und organisatorischen Maßnahmen die erforderlich sind um pbD zu verarbeiten, werden zu aufwendig. Also wird man in Zukunft beim Kauf von Hard- und Software auf die Umsetzung von Privacy by Design und Privacy by Default besonders achten.

Unterstützung

Wenn Sie mehr darüber erfahren wollen oder Ihr Entwicklerteam Unterstützung braucht, sprechen Sie mich unter 030 - 280 400 an.

Manfred Wöller
Datenschutzbeauftragter (TÜV)