Datenschutz durch Technikgestaltung als Kernaspekt der DSGVO-Compliance

Die Datenschutz-Grundverordnung (DSGVO) enthält eine Reihe neuer Verpflichtungen gegenüber der bisherigen Gesetzgebung. Seit dem 25. Mai 2018 müssen diese Anforderungen erfüllt werden. Aber eine wichtige Frage ist: Wie? Schließlich sind die To-Do-Listen oft lang und so ein Projekt erfordert einen unternehmensweiten Ansatz mit mehreren beteiligten Disziplinen, um DSGVO-konform zu werden. Dazu kommt noch die Koordination auf administrativer Ebene. Eine der neuen Anforderungen heißt Datenschutz durch Technikgestaltung (auch genannt Privacy by Design oder PbD). Ein guter PbD-Ansatz ermöglicht es Unternehmen, um mit fast allen Aspekte der DSGVO-Compliance strukturiert und gut organisiert umzugehen.

Was ist Datenschutz durch Technikgestaltung?

PbD bedeutet, dass der Schutz der Privatsphäre bzw. der Schutz personenbezogener Daten in die technische Gestaltung von Produkten oder Dienstleistungen einbezogen wird. In der DSGVO ist die Anforderung in Artikel 25 enthalten. Die dortige Beschreibung gibt jedoch wenig Orientierung und bleibt zu allgemein. Der Artikel spricht über technische und organisatorische Maßnahmen nach dem Stand der Technik. Aber wie macht man das konkret, ohne in abstrakten Prinzipien wie Gerechtigkeit und Transparenz stecken zu bleiben?

Ein guter Ansatz ist zu recherchieren, welche Aspekte PbD eine Bedeutung geben. In jedem Fall dürfen nur die für den Zweck erforderlichen personenbezogenen Daten verarbeitet werden. Beschreiben Sie also zunächst, wofür Sie Ihre persönlichen Daten verarbeiten wollen. Dann ist es wichtig zu sehen, ob es wirklich notwendig ist, personenbezogene Daten zu verarbeiten. Kann das Ziel auch mit anonymen Daten erreicht werden? In diesem Fall sollten Sie keine personenbezogenen Daten verarbeiten. Wenn Sie wirklich persönliche Daten benötigen, gibt es eine Reihe von Schutzmaßnahmen, wie z.B. Pseudonymisierung und Verschlüsselung. Diese Maßnahmen stellen sicher, dass nicht immer jedem, der mit den Daten arbeitet, sofort klar ist, mit wem er es zu tun hat. Aber auch, dass bei einem unerwarteten Datenverlust den Betroffenen tatsächlich kein Schaden entsteht.

Als nächstes muss sichergestellt werden, dass nur Personen, die Zugang zu den Daten benötigen, tatsächlich darauf zugreifen können. Also sowohl physisch (ein geschlossenes Gebäude oder Raum) als auch logisch (technisch z.B. mit Benutzername und Passwort und auf Basis einer Berechtigung). Außerdem sollten die Daten nicht zu lange gespeichert werden. Das wird anhand des Ziels bestimmt. Wenn Sie die Daten nicht mehr benötigen, müssen sie vernichtet oder anonymisiert werden. Manchmal haben Sie jedoch noch eine Archivierungspflicht.

Schließlich sollten die Rechte der betroffenen Personen (diejenigen, auf die sich die personenbezogenen Daten beziehen) so weit wie möglich standardmäßig gelten. Dies bedeutet, dass die Einstellungen für die gemeinsame Nutzung von Informationen standardmäßig so datenschutzfreundlich wie möglich sein müssen. Also nicht einfach alles mit allen teilen, aber nicht teilen, es sei denn, der Benutzer ändert eine Einstellung. Und weitere Rechte müssen einfach auszuüben sein. Das heißt, der Betroffene muss Zugang zu seinen Daten haben, diese gegebenenfalls korrigieren und gegebenenfalls löschen lassen können.

Einhaltung der DSGVO-Richtlinien

Wenn PbD korrekt angewendet wird, werden die meisten Anforderungen der DSGVO automatisch erfüllt. Alle Aspekte werden diskutiert und es wird ein klarer Überblick über die gewählte Arbeitsmethode und die Gründe für bestimmte Entscheidungen erstellt. PbD ist daher der Dreh- und Angelpunkt für die Einhaltung der DSGVO und in der Praxis ein sehr wertvolles Werkzeug für Unternehmen. Auch die Kommunikation der Anforderungen und was das für das höhere Management bedeutet, wird vereinfacht.

Das Privacy by Design-Framework

Um dies in die Praxis umzusetzen, hat Privacy Company das Privacy by Design Framework entwickelt. Verschiedene Aspekte der DSGVO wurden für die Implementierung von PbD verwendet, und es wurde immer angegeben, was das für die Technologie, für die zugrunde liegende Dokumentation oder die Verfahren in der Organisation bedeutet und welche möglichen Alternativen bestehen würden, wenn eine bestimmte Maßnahme die Geschäftsprozesse unverhältnismäßig stark beeinträchtigen würde. Als Anwender des PbD-Frameworks erhalten Sie in einigen einfachen Schritten einen guten Überblick über die Maßnahmen, die Sie ergreifen müssen, um diese einzuhalten. Das Framework hilft auch, während eines Entwicklungsprozesses die richtigen Fragen zu stellen und die richtige Interaktion zwischen Anwälten und Technikern zu erreichen.

Das Framework soll nicht nur bei der Einhaltung von Privacy by Design in einem bestimmten neuen Produkt oder einer Dienstleistung helfen, sondern auch bei der Bewertung der allgemeinen Maßnahmen und Verfahren einer Organisation. Eine gute Risikobewertung und Legitimitätsprüfung kann auch durch Vorbeigehen an den verschiedenen Komponenten der bestehenden Prozesse erfolgen. Und es ist ein bewährtes Instrument zur Durchführung einer Datenschutzfolgenabschätzung, auch bekannt als Privacy Impact Assessment (PIA).

Author image
Arnold Roosendaal