Privacy By Design – eine der großen Herausforderungen im Datenschutz

Die Übergangsfrist zur Umsetzung der DS-GVO-Vorgaben verstreicht langsam, dennoch fühlen sich viele Unternehmen noch unsicher bezüglich dessen, was sie für eine konforme Vorgehensweise tatsächlich leisten müssen. Doch nicht nur aufgrund der drastischen Strafen, die bei Verstößen gegen die Verordnung drohen, ist es empfehlenswert, sich nicht nur schnellst- sondern auch bestmöglich damit auseinanderzusetzen und entsprechend zu agieren. Denn, wie die Diskussionen der letzten Monate gezeigt haben, achten Verbraucher zunehmend darauf, was mit ihren Daten passiert. Deshalb kann der sorgfältige Umgang mit Daten für Unternehmen sich mittelfristig als echter Wettbewerbsvorteil erweisen – Konzepte wie Privacy by Design / Privacy by Default bieten hierfür eine gute Basis.

Es gibt diverse Studien darüber unter anderem von Gartner, wie viele Unternehmen davon überzeugt sind, dass sie die Vorgaben der DS-GVO ordnungsgemäß umsetzen können. Die Zahlen schwanken dabei zwischen 31 und 40 Prozent. Doch im Prinzip haben diese Aussagen so gut wie keinen Wert, denn vielfach sind sich die Verantwortlichen aufgrund fehlender Kenntnisse gar nicht darüber bewusst, dass sie keinesfalls in der Lage dazu sind alle neuen Vorschriften umzusetzen. Hierfür gibt es stichhaltige Gründe, wie sich am „Recht auf Vergessen werden“ gut dokumentieren lässt: Per se haben Verbraucher zukünftig das Recht von Unternehmen einzufordern, ihre kompletten Daten zu löschen. Da jedoch die Daten zumeist in verschiedenen Datenbanken zu unterschiedlichen Verwendungszwecken abgespeichert wurden, erfordert die Umsetzung der Vorschrift die Konzeption neuer technisch-organisatorischer Prozesse und ist definitiv nicht „mal eben“ mit einem Knopfdruck zu bewerkstelligen.

Die Problemstellungen, die sich aus der bisherigen Datennutzung und -speicherung ergeben, lassen sich beliebig weiter fortführen. So ist, laut verschiedener Untersuchungen, bei vielen Daten weder die Quelle noch der Verwendungszweck dokumentiert – auch das ist gemäß der neuen Verordnungen nicht erlaubt. Nach Meinung der meisten Experten wird es keine triviale Aufgabe sein, die neuen Anforderungen zu erfüllen. Nicht zuletzt auch aufgrund der Tatsache, dass – neben den bereits zur Datengenerierung genutzten Kanälen wie Social Media-Netzwerken – mit dem Internet of Things (IoT) eine noch gewaltigere Masse an Daten produziert wird.

Neue Ansätze für die neuen Vorgaben

Die Technologie ermöglicht es, kontinuierlich mehr Daten zu sammeln und zu verwenden – im Gegenzug werden diese Möglichkeiten seitens des Gesetzgebers bewusst reguliert. Kein leichtes Unterfangen also für die Unternehmen, hier durchgängig konform zu agieren. Hilfestellung bei dieser Zwickmühle bietet das Konzept ‚Privacy-by-Design’, bei dem bereits während der Planung von Applikationen oder insgesamt digitalen Angeboten die Vorgaben des Datenschutzes in technischer und organisatorischer Hinsicht miteinbezogen werden. Eine technische Umsetzung, mit deren Unterstützung Datensparsamkeit, Zweckbindung und die eigenverantwortliche Steuerung der Datenflüsse gewährleistet werden kann, ist bei der zunehmend vernetzten und vollautomatisierten Welt nahezu unerlässlich. Hierüber lassen sich, zum Beispiel durch die Auswahl von Komponenten oder Verfahren, die wesentlichen Elemente der Datensparsamkeit wie Trennung personenbezogener Identifizierungsmerkmale und der Inhaltsdaten, die Anonymisierung oder fristgemäße Löschung personenbezogener Daten bewerkstelligen.

Ganz konkret bedeutet Privacy-by-Design, das Unternehmen bewusst von Anfang an bei der Planung neuer Applikationen und IT-Systeme, welche für die Verarbeitung personenbezogener Daten vorgesehen oder eingesetzt werden, die besonderen Erfordernisse des Datenschutzes berücksichtigen. Dabei gilt es diese auch auf versteckte Gefahren hin überprüfen und die speziellen Anforderungen in das Lastenheft zu übernehmen. Dieser Ansatz ist sinnvoll, denn wenn die Grundkonzeption erst einmal feststeht und dann mögliche Problemfelder bezüglich des Datenschutzes während oder am Ende der Entwicklungsphase auftreten, ist die Behebung viel zeit- und kostenaufwändiger.

Neben dem Konzept Privacy by Design, bei dem die Regelungen zur Behandlung der Daten fest implementiert sind und somit nicht umgangen werden können, gibt es noch den zweiten – weniger strikten – Ansatz ‚Privacy by Default’. Die Konzeption garantiert ebenfalls die datenschutzkonformen Grundeinstellungen – doch steht den Nutzern dann frei in einem zweiten Schritt darüber zu entscheiden, ob und wie ihre Daten genutzt werden dürfen.

Info:
Das Konzept zu ‚Privacy-by-Design’ wurde in den neunziger Jahren von der ehemaligen Informationsfreiheits- und Datenschutzbeauftragten der kanadischen Provinz Ottawa, Ann Cavoukian entworfen, indem sie folgende sieben Grundprinzipien aufstellte.

Sieben Prinzipien von „Privacy by Design“

• Proaktiv, nicht reaktiv; als Vorbeugung und nicht als Abhilfe
• Datenschutz als Standardeinstellung („Privacy by Default“)
• Der Datenschutz ist in das Design eingebettet
• Volle Funktionalität – eine Positivsumme, keine Nullsumme
• Durchgängige Sicherheit – Schutz während des gesamten Lebenszyklus
• Sichtbarkeit und Transparenz – Für Offenheit sorgen
• Die Wahrung der Privatsphäre der Nutzer – für eine nutzerzentrierte Gestaltung sorgen

Win-Win-Situation

Privacy by Design bietet für Unternehmen unverkennbar einen großen Vorteil: Je weniger Daten sie sammeln und speichern, desto geringer ist ihr Risiko gegen Compliance-Regeln und Gesetze zu verstoßen. Von daher sollte das Konzept als eine wesentliche Anforderung für alle Unternehmen, die Produkte wie Wi-Fi-Router und Dienstleistungen wie soziale Netzwerke oder Suchmaschinen zur Verfügung stellen, selbstverständlich sein. Zumal der Verzicht auf über- und unrechtmäßige Datengenerierung mittlerweile sehr gut dazu dienen kann, sich gegenüber Mitbewerber zu positionieren. Denn viele Nutzer verfügen nur über eingeschränktes IT-Know-How und sind daher nicht in der Lage, die notwendigen Sicherheitsmaßnahmen selbst durchzuführen, um ihre eigenen personenbezogenen Daten oder die Dritter zu schützen. Diese Zielgruppen werden bevorzugt Applikationen und IT-Systeme nutzen, die sie hier adäquat unterstützen. Hierzu gehört, dass Anbieter die Nutzer in die Lage versetzen, ihre personenbezogenen Daten besser zu schützen, indem sie beispielsweise geeignete und intuitiv bedienbare Datenschutztools wie Zugangskontrollen, Verschlüsselung, oder auch Vorkehrungen für die anonyme Nutzung bereitstellen.

Fazit

Auch wenn im Sinne des Konsumenten die Forderungen und Vorgaben der DS-GVO plausibel und sinnvoll klingen, bleiben doch einige Punkte noch ungeklärt. Denn herunterdekliniert auf einzelne Berufsgruppen werfen diese in der Praxis Fragestellungen auf, die sich nicht ad hoc beantworten lassen. Zum Beispiel gilt für Versicherungen, dass im Prinzip Vertragsdaten wegen der erforderlichen Nachverfolgbarkeit nicht gelöscht werden dürfen. Andererseits muss ein Versicherungsmakler dem Wunsch seiner Kunden nach Löschung entsprechen. Es bleibt die Frage offen, was überwiegt – der Löschungsanspruch oder der Verteidigungsanspruch des Maklers? Aber egal, wie diese Frage nun final beantwortet wird. Datenschutz wird das Qualitätsmerkmal in der digitalen Welt des 21. Jahrhunderts.