Was ist Privacy by design und Privacy by default?

 

In Art. 25 DS-GVO sind die Grundsätze „privacy by design“ und „privacy by default“ im Gegensatz zu der nach BDSG geltenden Rechtslage nun gesetzlich verankert. „Privacy by design“ bedeutet „Datenschutz durch Technikgestaltung“. Damit ist der Grundgedanke verbunden, dass die datenschutzrechtlichen Regelungen am effektivsten eingehalten werden, wenn diese bereits bei Erstellung eines Datenverarbeitungssystems oder einer Software umgesetzt werden. „Privacy by default“ bedeutet, dass datenschutzfreundliche Voreinstellungen in Systemen vorzunehmen sind. Damit soll gewährleistet werden, dass nur diejenigen Daten erhoben werden, die für einen Verarbeitungsvorgang wirklich benötigt werden.

Welche Pflichten ergeben sich aus „Privacy by design“?

Bei „Privacy by design“ handelt es sich um eine extrem wichtige Regelungen, die kein „Nice to have“ sondern ein „Must have“ ist. Verpflichtete sind nicht, wie man meinen möchte, die Hersteller von Software, sondern derjenige, der die personenbezogenen Daten verarbeitet, also das Unternehmen selbst. Der Verantwortliche hat geeignete technische und organisatorische Maßnahmen zu ergreifen, um die wirksame Umsetzung der Datenschutzgrundsätze zu gewährleisten. Beispielhaft hat der Gesetzgeber die Pseudonymisierung genannt, die einzuhaltenden technischen und organisatorischen Maßnahmen gehen darüber aber weit hinaus und enthalten alle in Art. 5 DS-GVO normierten Grundsätze wie Transparenz, Zweckbindung, Datenminimierung, usw.

Des Weiteren müssen die technischen und organisatorischen Maßnahmen derart ausgestaltet sein, dass sogenannte notwendige Garantien aufgenommen werden, um den Anforderungen der DS-GVO zu genügen und die Rechte der betroffenen Personen zu schützen. Diese vom Gesetzgeber gewählte Formulierung und die damit auferlegten Pflichten sind äußerst weit gefasst. Um den Anforderungen der DS-GVO Folge zu leisten, sollte der Verantwortliche ein Datenschutzkonzept vorweisen können, das eine Risikoanalyse, Auswahl, Festlegung und Umsetzung konkreter technischer und organisatorischer Maßnahmen beinhaltet.¹ Darüber hinaus muss sichergestellt werden, dass die Betroffenenrechte proaktiv eingehalten werden. Eine Software, die nicht die zwingenden Ansprüche des Betroffenen wie Auskunft, Berichtigung, Löschung oder Datenübertragbarkeit, etc., erfüllen kann, entspricht daher nicht den Anforderungen des Art. 25 Abs. 1 DS-GVO. Ist ein Unternehmen beispielsweise nicht in der Lage einem Auskunftsersuchen nachzukommen, weil dies softwaretechnisch nicht möglich ist und kann auch eine manuelle Zusammenstellung nicht erfolgen, stellt dies bereits einen Verstoß gegen Art. 25 Abs. 1 DS-GVO dar.²

 

Bei der Auswahl der zu treffenden Maßnahmen hat der Verantwortliche abzuwägen, welcher Nutzen in Hinsicht auf den Datenschutz bewirkt wird und mit welchem Aufwand die Maßnahme verbunden wäre. Mit in die Abwägung einzubeziehen sind unter anderem der Stand der Technik, Implementierungskosten, sowie Umfang, Art und Zweckbindung der Daten. Der Verantwortliche ist dadurch nicht zur Implementierung unverhältnismäßiger aufwändiger Maßnahmen verpflichtet, die zu ergreifenden Schutzmaßnahmen steigen jedoch, je intensiver die Risiken für die Rechte und Freiheiten natürlicher Personen sind.

 

Welche Pflichten ergeben sich durch „Privacy by default“?

„Privacy by default“ ist in Art. 25 Abs. 2 DS-GVO normiert. Der Verantwortliche hat sicherzustellen, dass IT-Systeme so eingestellt sind, dass nur personenbezogene Daten verarbeitet werden, die für den jeweiligen Verarbeitungszweck erforderlich sind. Die Vorschrift stellt einen Unterfall von „Privacy by Design“ dar und bezieht sich hauptsächlich auf internetbasierte Dienste und soziale Netzwerke. Mit dieser Regelung soll erreicht werden, dass Nutzer dieser Dienste Voreinstellungen erst gar nicht ändern müssen, um datenschutzfreundliche Einstellungen vorzunehmen. Damit sollen Nutzer von vorherein vor einer unzulässigen und beeinträchtigenden Verarbeitung ihrer personenbezogenen Daten geschützt werden.

Was sind die Folgen?

Die Einhaltung dieser datenschutzrechtlichen Vorgaben ist ein absolutes „Muss“. Es handelt sich bei Art. 25 DS-GVO um eine bußgeldbewehrte Regelung. Schlimmstenfalls können Geldbußen von bis zu 10 Mio. EUR oder bis zu 2% des Jahresumsatzes eines Unternehmens verhängt werden. In Art. 83 Abs. 2 lit. d DS-GVO wird die Einhaltung der technischen und organisatorischen Maßnahmen sogar ausdrücklich genannt. Hat der Verantwortliche beispielsweise eine Risikoanalyse nicht frühzeitig durchgeführt und die erforderlichen Maßnahmen ergriffen, kann sich dies unmittelbar auf die Höhe der Sanktion auswirken. Da der Verantwortliche jederzeit zum Nachweis der Einhaltung der datenschutzrechtlichen Anforderungen verpflichtet ist, kann auch eine Überprüfung durch die Aufsichtsbehörden erfolgen.

Was ist jetzt zu tun?

Es handelt sich bei „privacy by design“ und „privacy by default“ um zwei extrem praxisrelevante Regelungen, die den Unternehmen bereits bei Anschaffung von Datenverarbeitungssystemen weitreichende Pflichten zur Umsetzung des Datenschutzes auferlegen. Auch bestehende IT-Systeme sind auf die Einhaltung der datenschutzrechtlichen Anforderungen hin zu überprüfen. Um rechtliche Sanktionen und kostspielige Änderungsmaßnahmen zu vermeiden, sollte bereits bei der IT-Beschaffung der Datenschutz und die IT-Sicherheit hinzugezogen werden. Es sollte außerdem überprüft werden, ob alle in Art. 25 DS-GVO gestellten Anforderungen im Unternehmen bereits umgesetzt wurden oder ob noch Maßnahmen ergriffen werden müssen.

Die Hersteller von Software sind zwar keine direkten Adressaten des Art. 25 DS-GVO, dennoch ist die Berücksichtigung der datenschutzrechtlichen Regelungen auch für sie wichtiger denn je und hat sich spätestens jetzt zu einem echten Verkaufsargument entwickelt.

Falls Sie Fragen zu diesem Thema haben, sprechen Sie uns gerne an!

 

Ihre Kanzlei für IT-Recht und Datenschutz München

Stand: 2. März 2020

 

1^ Gola, Kommentar zur DS-GVO, 1. Auflage 2017, Rdnr. 19

2^ Sydow, Europäische Datenschutzgrundverordnung
2. Auflage 2018, Art.25, Rdnr. 19