Privacy by Design im EU-Datenschutz: Was Unternehmen wissen sollten

Die Prinzipien Privacy by Design und Privacy by Default sollen IT-Nutzern helfen, die Anforderungen des Datenschutzes leichter umsetzen zu können.

Dieser Artikel behandelt

Datenschutz

In der IT-Sicherheit spricht man oftmals von der „Schwachstelle Mensch“. Darunter versteht man Fehler der Nutzer, die ungewollt zu einem Sicherheitsrisiko beitragen. Im Datenschutz gibt es ein ähnliches Phänomen: IT-Anwender lassen viele Möglichkeiten ungenutzt, ihre personenbezogenen Daten besser zu schützen.

Es steckt kein böser Wille dahinter, wenn die Nutzer Daten unzureichend schützen. In Umfragen, zum Beispiel von BITKOM, wird immer wieder deutlich, dass den Nutzern der Datenschutz wichtig ist. Gleichzeitig zeigen die Studien aber, dass wichtige Sicherheitsmaßnahmen wie die Verschlüsselung von E-Mails kaum genutzt werden. Der Schluss liegt nahe, dass die meisten Nutzer durch die Vorgaben des Datenschutzes überfordert sind. Aus diesem Grund werden vom Datenschutz höhere Erwartungen an die Administratoren und an die IT-Anbieter gestellt.

Datenschutz nimmt Anbieter und Administratoren stärker in die Pflicht

Datenschützer fordern seit längerem schon, den Schutz personenbezogener Daten so früh wie möglich in IT-Lösungen zu berücksichtigen. Bereits in der Konzeption und Entwicklung, aber auch in den Voreinstellungen soll der Datenschutz einen wichtigen Stellwert einnehmen. So sollen die Nutzer später bei der Umsetzung von Datensicherheitsmaßnahmen unterstützt werden oder aber nahezu gar nicht mehr anders können, als den Datenschutz zu beachten. Man spricht von „Privacy by Design“ und „Privacy by Default“. Beide Datenschutz-Prinzipien richten sich an die IT-Anbieter. Der Datenschutz als Voreinstellung (“by Default”) wendet sich zusätzlich an die Administratoren in den Anwenderunternehmen.

IT-Anbieter sollten ausgesprochene Datenschutzfunktionen beziehungsweise datenschutzfreundliche Funktionen in ihren Lösungen vorsehen. Das fordern die Aufsichtsbehörden in einer entsprechenden Entschließung als generelles Prinzip und nennen „Privacy by Design“ auch exemplarisch als Anforderung bei Lösungen im Bereich Webtracking und bei der App-Entwicklung. Aber auch die geplante Datenschutz-Grundverordnung der EU sieht einen eigenen Artikel zu Privacy by Design und Privacy by Default vor, dort „Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen“ (Artikel 23) genannt.

Anwender sollen Lösungen nach Datenschutzaspekten auswählen

Die EU-Datenschutz-Grundverordnung wird von Anwenderunternehmen verlangen, dass nur Verfahren eingesetzt werden, die sicherstellen, dass grundsätzlich ausschließlich solche personenbezogenen Daten verarbeitet werden, die für die spezifischen Zwecke der Verarbeitung benötigt werden. Es sollen vor allem nicht mehr personenbezogene Daten zusammengetragen oder vorgehalten werden als für diese Zwecke unbedingt nötig ist. Diese Daten sollen auch nicht länger als für diese Zwecke unbedingt erforderlich gespeichert werden. Die Verfahren müssen insbesondere sicherstellen, dass personenbezogene Daten grundsätzlich nicht einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.

Damit sind Anwenderunternehmen insbesondere gehalten, ihre IT-Lösungen und Verfahren so auszuwählen, dass die Prinzipien der Datensparsamkeit, Datenvermeidung, Zweckbindung, fristgerechten Löschung von Daten und Zugangs- und Zugriffskontrolle umgesetzt werden. Das kann nicht alleine durch technische Maßnahmen erfolgen, wird aber durch technische Maßnahmen deutlich vereinfacht. Somit sollten Anwenderunternehmen gezielt solche Verfahren und Lösungen wählen und einsetzen, die die Datenschutz-Prinzipien unmittelbar beachten, also Privacy By Design und Privacy by Default bieten.

Datenschutz gehört ins Lastenheft und ins Pflichtenheft

Wenn Anbieter neue Produkte entwickeln oder bestehende weiterentwickeln, sollte der Datenschutz Teil des Pflichtenheftes werden. Anwenderunternehmen sollten ebenfalls den Datenschutz als festen Bestandteil des Lastenheftes begreifen. Für alle IT-Lösungen, die personenbezogene Daten verarbeiten sollen, gehören neben den rein fachlichen Anforderungen auch die Forderungen nach sparsamer Datenerfassung und Datenspeicherung, nach Vermeidung missbräuchlicher Datennutzung, nach intelligenten Löschfunktionen, sicherem Zugangsschutz und einem ausreichend ausgefeiltem Berechtigungssystem hinzu.

Gerade die Verschlüsselung spielt bei vielen dieser Forderungen eine wichtige Rolle. Für das eingangs erwähnte Beispiel oftmals fehlender Verschlüsselung bedeutet dies, dass Unternehmen Lösungen bevorzugen sollten, die integrierte Verschlüsselungsfunktionen bieten oder diese einfach integrieren lassen. Dabei sollte die Verschlüsselung bereits so voreingestellt werden, dass die einzelnen Nutzer möglichst automatisch die personenbezogenen Daten schützen. IT-Anbieter sollten ihre Lösungen entsprechend mit Schnittstellen für Sicherheitslösungen und mit Datenschutz-Optionen versehen, die es einfacher machen, den Datenschutz zu beachten und nicht etwa komplizierter.

Artikel wurde zuletzt im August 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Datenschutz und Datensicherheit

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close