News
Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
Der Art. 25 DSGVO verpflichtet den Verantwortlichen (Art. 4 Nr. 7) durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen die Rechte der betroffenen Personen zu schützen. Dies klingt grundsätzlich erstmal gut, was damit gemeint ist, bleibt aber teilweise unklar. Dieser Beitrag soll darüber informieren, zu was der Verantwortliche verpflichtet ist.
Hierzu bietet es sich an, folgende Begrifflichkeiten zu unterscheiden und zu definieren.
Privacy by design (Datenschutz durch Technikgestaltung)
Datenschutz ist als Systemstandard bei jeder Verarbeitung von personenbezogenen Daten von Beginn an mit ein zu planen. Der Datenschutz soll dadurch einen unentbehrlichen Teil des Entwicklungsprozesses darstellen und die Daten sollen somit durch technische Voreinstellung geschützt werden.
Privacy by default (Datenschutz durch datenschutzfreundliche Voreinstellungen)
Anwendungen sollen so eingestellt sein, dass die Daten der Nutzer geschützt sind, ohne dass er die entsprechenden Einstellungen selbst vornehmen muss. Dadurch sollen vor allem Nutzer geschützt werden, die nicht so technikaffin sind und denen es schwerfällt, solche Einstellungen selbst vorzunehmen. Das bedeutet zum Beispiel, dass eine Einwilligung nur per Opt-In erfolgen darf. Vorausgefüllte Checkboxen sind nicht zulässig.
Die Grundsätze Privacy by design und Privacy by default gab es schon vor der Einführung der DSGVO und sind vor allem bei der Programmierung von Software anwendbar. Aufgrund der nicht eindeutigen Definition wurde die Umsetzung aber kaum überprüft. Dies hatte zu Folge, dass in vielen Anwendungen (z.B.: SAP und RA Micro) eine Löschung von Daten nicht vorgesehen war, obwohl dies ja eine datenschutzrechtlich notwendige Funktion sein müsste nach Art. 5 DSGVO. Inwiefern die Aufsichtsbehörden Verstößen nach der neuen Rechtslage sanktionieren, bleibt abzuwarten. Bei dem Erwerb von Software kann bei europäischen Anbietern aber grundsätzlich davon ausgegangen werden, dass der Hersteller den Datenschutz bei dem Entwicklungsprozess bedacht hat.
Der Schutz der Daten hat gemäß Art. 25 DSGVO durch geeignete technische und organisatorische Maßnahmen zu erfolgen. Als Beispiel nennt der Gesetzgeber die Pseudonymisierung der Daten. Dies bedeutet vereinfacht, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können (Art. 4 Nr. 5 DSGVO). Es ist also stets zu prüfen, ob der Zweck der Datenverarbeitung auch nach der Pseudonymisierung der Daten erfüllt werden kann.
Andere geeignete Maßnahmen nennt der Gesetzgeber an dieser Stelle leider nicht. Hier bietet es sich aber an, den Art. 32 DSGVO zu lesen. Denn dieser enthält allgemeine Maßnahmen und Regeln, durch die ein angemessenes Schutzniveau für den Umgang mit personenbezogenen Daten gewährleistet werden kann. Diese Ausführungen können meistens auch für die Einführung eines neuen Datenverarbeitungsprozesses herangezogen werden. Trotzdem bleibt an vielen Stellen offen, zu welchen Maßnahmen der Verantwortliche verpflichtet ist. Grundsätzlich gilt aber:
- Datenminimierung
Der Grundsatz der Datenminimierung (Art. 5 Abs. 1 c) muss bei der Implementierung eines neuen Systems von Anfang bedacht werden. Das bedeutet, es soll systematisch sichergestellt werden, dass nur die Daten gespeichert werden, die zu Erfüllung des Zweckes wirklich erforderlich sind. Bei einer Online Bestellung sind das in Regel nur: der Name, die Adresse und die Daten zur Zahlungsabwicklung. Selbstverständlich sind auch die Anderen Grundsätze aus Art. 5 DSGVO von Anfang mit einzubeziehen.
- Stand der Technik
Die erforderlichen Maßnahmen nach Art. 32 DSGVO sind unter Berücksichtigung des Stands der Technik vorzunehmen. Was Stand der Technik ist, ist nicht immer eindeutig zu klären. Windows 7 ist es aber auf jeden Fall nicht, weil dieser Dienst seit Anfang 2020 nicht mehr supportet wird. Falls Sie diesen Dienst noch nutzen, sollten Sie das zeitnah ändern, weil dies ansonsten ein unerlaubtes Sicherheitsrisiko darstellt. Aufgrund der unklaren Rechtslage hat der Bundesverband IT-Sicherheit eine Handreichung zum „Stand der Technik“ veröffentlicht. Dieses ca. 80 seitige Dokument finden Sie im Internet.
- Verhältnismäßigkeit
Zu welchen konkreten Maßnahmen man bei der Implementierung eines neues Datenverarbeitungsvorgangs verpflichtet ist, hängt immer von der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung ab. Umso höher die Eintrittswahrscheinlichkeit und die Schwere einer Datenschutzverletzung ist, um so umfassender müssen die technischen und organisatorischen Maßnahmen sein.
- Zertifikate
Die Erfüllung der oben genannten Anforderungen kann gemäß Art. 25 Abs. 3 DSGVO durch eine Zertifizierung nach Art. 42 DSGVO erfolgen.
Abschließend lässt sich sagen, dass der Umfang der erforderlichen Maßnahmen vom Einzelfall abhängig ist. Solche Maßnahmen erfordern immer eine Berücksichtigung der Gesamtlage, insbesondere müssen Sie verhältnismäßig in Bezug zu der potenziellen Gefahr für die Betroffenen sein. Vor allem wenn die Gefahr als hoch eingestuft wird, ist es ratsam, sich professionelle Hilfe zu holen, um so das weitere Vorgehen gemeinsam zu planen.