ISO 31700 – der neue Standard für Privacy by Design

Die in der Datenschutz-Grundverordnung (DSGVO) verankerten Prinzipien von Privacy by Design und Privacy by Default sollen gewährleisten, dass Produkte und Anwendungen verbraucherfreundlicher entwickelt werden. Die neue ISO-Norm 31700 schafft hierfür erstmals international einen Standard. Wir erklären die wichtigsten Vorgaben der Norm und erläutern die Bedeutung für Unternehmen.

Was steckt in der neuen ISO 31700?

Die ISO (International Organization for Standardization) veröffentlichte die zweiteilige Norm ISO 31700-1 und ISO 31700-2 zum Verbraucherschutz und Privacy by Design für Konsumgüter und Dienstleistungen am 8. Februar 2023. Entsprechende Anforderungen an Datenschutz durch Technikgestaltung ergeben sich unmittelbar aus Art. 25 DSGVO. Die neue ISO-Norm soll helfen, ein Rahmenwerk für die Umsetzung von Privacy by Design zu etablieren. Zunächst ist der Standard unverbindlich.

Die ISO-Norm 31700 geht in der Detailtiefe über den ursprünglichen, konzeptionellen Entwurf von 2009, der damaligen Datenschutzbeauftragten der kanadischen Provinz Ontario, Ann Cavoukian, hinaus und enthält anstatt der sieben Prinzipien nunmehr 30 Anforderungen.

Die ISO 31700-1 enthält allgemeine Anleitungen und Hinweise

  • zur Entwicklung von Funktionen, die es den Verbrauchern ermöglichen, ihre Datenschutzrechte durchzusetzen,
  • zur Zuweisung relevanter Rollen und Befugnisse,
  • zur Bereitstellung von Datenschutzinformationen für Verbraucher,
  • zur Durchführung von Datenschutzrisikobewertungen,
  • zur Festlegung und Dokumentation von Anforderungen an Datenschutzkontrollen,
  • zur Gestaltung von Datenschutzkontrollen,
  • zum Datenmanagement über den gesamten Lebenszyklus sowie
  • zur Vorbereitung auf und zum Umgang mit Datenschutzverletzungen.

Die Norm soll keine spezifischen Anforderungen und Methoden beinhalten, sondern vielmehr als allgemeine Handlungsanweisung verstanden werden.

Spezielle Umsetzungshinweise werden in der ISO 31700-2 dann in einem separaten Dokument anhand von spezifischen Beispielen erläutert. Die Norm stellt die Datenschutzrechte und -präferenzen von Verbrauchern in den Mittelpunkt der Produktentwicklung und des Betriebs. Die aufgezeigten Anwendungsfälle stammen aus dem Online-Einzelhandel, einem Fitnessunternehmen und von intelligenten (vernetzten) Schließsystemen. Exemplarisch werden dort spezielle Systemanforderungen aufgezeigt, die mittels einer Reihe möglicher Abfolgen von Interaktionen zwischen Interessengruppen und Systemen in einem bestimmten Ökosystem veranschaulicht werden.

Relevanz der ISO 31700 für Unternehmen

Die Norm soll erstmalig einen Vorschlag zur globalen Standardisierung von Privacy by Design schaffen und die Anforderungen aus Sicht der Verbraucher betonen. Es wird der Ansatz verfolgt, dass durch die Einhaltung des Standards nicht nur datenschutzrechtliche Vorgaben der Unternehmen erfüllt werden, sondern auch das Vertrauen der Verbraucher gegenüber den Diensteanbietern gestärkt wird. Hält die Norm ihr Versprechen, kann der (scheinbare) Widerspruch zwischen datenschutzkonformer Technikgestaltung und Geschäftserfolg aufgelöst werden.

Die Kurzformel ist: Wettbewerbsvorteil durch Akzeptanz der Verbraucher.

Fazit: Selbstbindung oft nicht ausreichend

Leider bleiben unverbindliche (wenngleich internationale) Standards oft hinter den Erwartungen zurück. Eine wirkliche Auswirkung auf die Unternehmenspraxis ist erst einmal nicht zu erwarten. Wie so oft ist die freiwillige Selbstbindung, ohne einen entsprechenden Marktdruck nicht zu haben.

Eine Zertifizierungsmöglichkeit wäre der erste Schritt in die richtige Richtung. Die freiwillige Umsetzung durch eine kritische Masse an Unternehmen, die eine solche Maßgabe zum in der Praxis vorherrschenden Standard erheben könnte, wird ohne Gegenwert zum Investment unwahrscheinlich sein.

Für Interessierte kann die Norm kostenpflichtig erworben werden. Eine kostenfreie Vorschau der ISO 31700-1 sowie 31700-2 sind zur ersten Durchsicht ebenfalls einzusehen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Eine Antwort hinterlassen

Ihre E-Mail wird nicht veröffentlicht. * Benötigte Felder.

Netiquette: Wir dulden keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen, sondern löschen. Alle weiteren Informationen zum Umgang mit Ihren Daten finden Sie in unserer Datenschutzerklärung.