activeMind AG - Privacy by Design wird der neue Datenschutz-Standard in der EU-Grundverordnung

Datenschutz, das war und ist für viele Unternehmen noch immer etwas, um das man sich kümmert, wenn alles steht: die Cloud, die teuer beauftragte Entwicklung einer App und das aufwendig programmierte Logistiksystem. Spätestens mit Anwendbarkeit der EU-Datenschutz-Grundverordnung ab 25. Mai 2018 sollten Unternehmen bereits bei der Auswahl von IT-Lösungen berücksichtigen, inwieweit diese datenschutzrechtlichen Anforderungen genügen. Die Verordnung verpflichtet Unternehmen, beim Einsatz von IT und Software zu prüfen, ob diese nach Datenschutzmaßstäben entwickelt wurden („Privacy by Design“). Ein Verstoß dagegen kann mit einem hohen Bußgeld belegt werden. Welchen Nutzen Privacy by Design für Unternehmen und Betroffene haben kann und welche gesetzlichen Änderungen mit der Datenschutz-Grundverordnung auf die verantwortliche Stelle zukommen, lesen Sie in diesem Beitrag.

Privacy by Design als Lösung moderner Datenschutzprobleme

Personenbezogene Daten, so eine beliebte Aussage, sind das Gold des 21. Jahrhunderts. Bei genauerem Hinsehen hinkt der Vergleich allerdings, da Daten im Gegensatz zu Gold weder nach Belieben angehäuft noch eingesetzt werden dürfen. Auch sind Daten nicht wie Gold übertragbar: sie verbleiben stets Persönlichkeitsmerkmal eines Betroffenen. Dieser Betroffene soll, so besagt es das Recht auf informationelle Selbstbestimmung, stets Herr seiner Daten bleiben.

Doch wie lässt sich diese Forderung in einer Welt realisieren, in der personenbezogene Daten faktisch wohl deutlich „fungibler“ sind als Gold? In einer Welt, in der Betroffene Einwilligungserklärungen für eine Verarbeitung ihrer Daten kurzerhand „abhaken“, weil sie keine Zeit oder Lust haben, sich mit den umfangreich beschriebenen Risiken (z. B. Weitergabe an Dritte, Datenübermittlung in einen unsicheren Drittstaat) auseinanderzusetzen?

Datenschutz als echter Standard

Privacy by Design – die datenschutzkonforme Konzeption und Entwicklung von IT-Systemen – kann hier eine Lösung darstellen. Eine App soll etwa so konzipiert sein, dass sie standardmäßig nur solche Daten verarbeitet, die für die Basisfunktionalität erforderlich sind. Alle weiteren Funktionen, für die weitere Daten des Betroffenen benötigt würden, müssen vom Nutzer aktiviert werden, wenn er dies wünscht. Vor jeder einzelnen Aktivierung wäre der Nutzer in wenigen Sätzen über den Nutzen, die zugriffsberechtigten Empfänger und die Speicherdauer der jeweiligen Daten zu informieren.

Für den Fall, dass der Nutzer jederzeit auf die Standardkonfiguration der App zurückkehren kann, wären Änderungen oder Ergänzungen des Zwecks einzelner wählbarer Funktionen bedenkenlos umsetzbar. Der Betroffene bliebe so stets Herr seiner Daten, weil er zu jeder Zeit genau wüsste, welche App-Funktion welche seiner Daten zu welchem Zweck benötigt, und weil er einzelne Funktionen aktivieren oder deaktivieren könnte.

Beispiel: Compliance im Unternehmen durch Privacy by Design

Als besonders nützlich könnte sich Privacy by Design im beruflichen Bereich erweisen: Soll etwa die angesprochene App im Unternehmen eingesetzt werden und entspricht die Standardkonfiguration dem, was der Arbeitgeber von seinem Arbeitnehmer vertraglich erwarten darf (z. B. Verwendung der App zu Kommunikationszwecken), kann hinsichtlich der Einwilligung in Zusatzfunktionen (z. B. Aktivierung eines verknüpften Geburtstagskalenders) von einer freiwilligen Entscheidung des Arbeitnehmers ausgegangen werden. Dieser willigt dann zwar in die Verarbeitung seines Geburtsdatums ein. Dies tut er jedoch nicht, weil er andernfalls die App als solche nicht nutzen kann – und deswegen Konsequenzen des Arbeitgebers fürchten müsste. Der Arbeitgeber wiederum müsste nicht fürchten, eine rechtswidrige Einwilligung eingeholt zu haben.

Das Beispiel zeigt, wie es technisch möglich ist, durch den Einsatz von Privacy-by-Design-Systemen das informationelle Selbstbestimmungsrecht des Betroffenen zu wahren. So entsteht eine Win-Win-Situation: Auf Seiten des Betroffenen führt der Einsatz von Privacy-Enhancing-Technologies zu einer höheren Akzeptanzbereitschaft; auf Seiten des Unternehmens zu mehr Rechtssicherheit.

Die datenschutzrechtlichen Prinzipien von Privacy by Design

Für die Entwicklung und den Einsatz datenschutzkonformer IT konkretisiert die europäische Datenschutz-Grundverordnung Datenschutzprinzipien, die in der Literatur unter dem Stichwort „Privacy by Design“ seit Langem diskutiert werden. Die drei wesentlichsten Grundsätze sind:

  1. Transparenz der Datenverarbeitung und Kontrollmöglichkeit durch den Betroffenen;
  2. Einsatz von Verfahren, die technischen Sicherheitsstandards genügen;
  3. Datenschutzkonforme Voreinstellungen (Privacy by Default); hierzu gehört insbesondere die Umsetzung der Grundsätze von Datenvermeidung und Datensparsamkeit.

Ein weiteres, nicht zwingend datenschutzrechtliches Prinzip, ist die leichte Bedienbarkeit eines Systems, einschließlich der Freigabe und dem Entzug von Berechtigungen, die insbesondere eine Diskriminierung älterer und behinderter Menschen verhindern soll.

Je nach dem, welchem Privacy-by-Design-Modell man in der Literatur folgen möchte, kommen weitere Prinzipien hinzu. Diese können aber, wie etwa die „befristete Gültigkeit von Zertifikaten“ oder „sichere Authentifizierungsverfahren“ auch den drei bereits genannten Prinzipien untergeordnet werden.

Transparenz-Prinzip in BDSG & Datenschutz-Grundverordnung

Das datenschutzrechtliche Transparenzprinzip ist bereits in zahlreichen Pflichten und Rechten des Bundesdatenschutzgesetzes (BDSG) verkörpert. Hervorzuheben ist das Auskunftsrecht nach § 19 Abs. 1 BDSG. Danach ist dem Betroffenen auf Antrag Auskunft zu erteilen über

  • die zu seiner Person gespeicherten Daten,
  • die Empfänger, an die die Daten weitergegeben werden, und
  • den Zweck der Speicherung.

Das Auskunftsrecht kann in der Praxis zu einer teuren und zeitraubenden Last für die verantwortliche Stelle werden, da der Betroffene die Auskunft grundsätzlich unentgeltlich einholen kann. Könnte der Betroffene dagegen, wie in Erwägungsgrund 61 S. 3 der europäischen Datenschutz-Grundverordnung vorgesehen, eigenständig im datenverarbeitenden System einsehen, welche seiner Daten von wem zu welchem Zweck gerade verarbeitet werden, würde dies die verantwortliche Stelle entlasten, da eine gesonderte Auskunftseinholung aus Sicht des Betroffenen wohl meist entbehrlich wäre.

Prinzip der Datensicherheit in BDSG & Datenschutz-Grundverordnung

Neben dem Transparenzprinzip ist auch der Einsatz von Verfahren, die technischen Sicherheitsstandards genügen, im geltenden Datenschutzrecht mehr oder weniger explizit geregelt. So sieht die Anlage zu § 9 BDSG vor, dass eine rechtskonforme Zugangs- Zugriffs- und Weitergabekontrolle „insbesondere [durch] die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren“ sichergestellt werden kann.

Erwägungsgrund 46 der EU-Datenschutzrichtlinie verlangt zudem (umfassender) „unter Berücksichtigung des Standes der Technik und der […] entstehenden Kosten ein Schutzniveau [zu] gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist“. In der Praxis erweisen sich diese Regelungen allerdings immer wieder als problematisch, da die verantwortliche Stelle bei einmal eingesetzten IT-Systemen, die sie nicht selbst entwickelt hat, kaum Anpassungsspielraum hat, geschweige denn, eine Verschlüsselungstechnologie nachträglich implementieren kann.

Die Datenschutzgrundverordnung fordert die verantwortliche Stelle daher dazu auf, „unter Berücksichtigung des Stands der Technik und der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die persönlichen Rechte und Freiheiten […] sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung angemessene technische und organisatorische Maßnahmen“ sicherzustellen (Artikel 23 Abs. 1 DSGVO).

Ferner sollen, gemäß Erwägungsgrund 61 der Verordnung, „die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Auslegung der Produkte, Dienste und Anwendungen zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen, dass die für die Verarbeitung Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen.“

Auch wenn von einer Pflicht der Hersteller im Verordnungstext selbst keine Rede mehr ist, dürfte sich die Pflicht der verantwortlichen Stelle, den Einsatz datenschutzkonformer Systeme zu prüfen, jedenfalls mittelbar auf die Hersteller von IT-Systemen auswirken.

Prinzip datenschutzkonformer Voreinstellungen in der Grundverordnung

Im geltenden Recht nicht ausdrücklich wiederzufinden ist die Pflicht in Artikel 23 Abs. 2 der Datenschutz-Grundverordnung, durch Voreinstellung eines Systems sicherzustellen, dass nur solche personenbezogenen Daten verarbeitet werden, die für den jeweils bestimmten Verarbeitungszweck erforderlich sind. Konkret soll dies für den Umfang der erhobenen Daten, den Umfang der Verarbeitung, die Speicherfrist und die Zugänglichkeit der Daten gelten. So darf eine Person, welche die Teilnahme an einem sozialen Netzwerk wünscht, nicht dazu gezwungen werden, ihr Profil vorab mit Daten zu füllen, die für die vertragsgemäße Teilnahme an diesem Netzwerk gar nicht erforderlich sind.

Darüber hinaus verlangt Artikel 23 DSGVO, dass ein einmal erstelltes Profil nicht ohne Eingreifen einer natürlichen Person (z. B. den Betroffenen oder einen Kundenbetreuer des Netzwerkes) „einer unbestimmten Zahl natürlicher Personen“ zugänglich gemacht wird. Hier wird der grundlegende Gedanke von Privacy by Design deutlich, wonach der Betroffene (oder eine von ihm beauftragte Person) über Umfang und Art der Verarbeitung seiner Daten entscheiden soll.

Der allgemeine Grundsatz, nur solche Daten zu erheben, die für eine Datenverarbeitung erforderlich sind, kann freilich bereits dem Datensparsamkeitsgrundsatz aus § 3a BDSG entnommen werden. Desgleichen findet sich die Verwendung von Pseudonymisierungstechniken als Umsetzung des Datensparsamkeitsgrundsatzes bereits in § 3a BDSG. Der Grundsatz der Datensparsamkeit erweist sich derzeit allerdings als „zahnloser Tiger“, da eine Nichtbefolgung der verantwortlichen Stelle – z. B. der bewusste Verzicht auf Pseudonymisierungstechniken, obwohl diese problemlos umsetzbar wären – im Offlinebereich nicht sanktioniert werden kann. Dies ändert sich mit der Datenschutz-Grundverordnung.

Datenschutzwidrige Technik im neuen Recht empfindlich sanktionierbar

Setzt eine verantwortliche Stelle trotz Vorhandenseins datenschutzkonformer Alternativen auf unsichere bzw. datenschutzkritische IT, muss sie gemäß Artikel 79 Abs. 3 DSGVO mit einem Bußgeld von bis zu 10.000.000 Euro (im Fall eines Unternehmens von bis zu 2 % seines weltweiten Jahresumsatzes, falls dieser Betrag höher ist) rechnen. Hersteller datenschutzwidriger Systeme werden es somit künftig noch schwerer haben, ihre Produkte loszuwerden. Verantwortliche Stellen sollten daher bei der Auswahl von Systemen besonders darauf achten, dass diese zumindest in der Standardeinstellung möglichst wenige personenbezogene Daten verarbeiten bzw. durch Einsatz von Pseudonymisierungstechnik die Aussagekraft der verarbeiteten Daten gezielt begrenzen.

Kommt es demgegenüber trotz Privacy by Design zu einem Datenschutzverstoß, muss die Aufsichtsbehörde den Einsatz datenschutzfreundlicher IT gemäß Artikel 79 Abs. 2a (e) DSGVO bei der Entscheidung über eine Geldbuße und deren Höhe berücksichtigen. Dies dürfte wohl insbesondere für den Fall gelten, in dem ein Unternehmen sich bei der Anschaffung und dem Einsatz von Geräten an Verhaltensregeln bezüglich Datensicherheit orientiert, die gemäß Artikel 38 Abs. 1a (ee) DSGVO von Branchenverbänden und -vereinigungen erstellt werden können. Ist nach außen hin bekannt bzw. erkennbar, dass Privacy-Enhancing-Technologies Anwendung finden, dürfte zudem das Risiko unangemeldeter Kontrollen von Aufsichtsbehörden sinken.

Wirkt Privacy by Design wirtschaftshemmend oder -fördernd?

Wirtschaftlicher Wert personenbezogener Daten erschöpft sich nicht in der Aussagekraft des einzelnen Datums

Auf den ersten Blick scheint Privacy by Design nur die von vielen Unternehmen angestrebte Monetarisierung personenbezogener Daten zu hemmen. Der wirtschaftliche Wert eines personenbezogenen Datums, so könnte man denken, besteht darin, möglichst viele aus sich heraus aussagekräftige Daten über eine Person anzuhäufen. Vor dem Hintergrund, dass ein unkontrolliertes und unbegrenztes Anhäufen aber niemals zulässig war und mit der Datenschutz-Grundverordnung zudem empfindlich bestraft werden kann, ist hier ein Umdenken erforderlich.

Der wirtschaftliche Wert personenbezogener Daten erschöpft sich nicht in der Aussagekraft des einzelnen Datums. Es ist meist die kontextbezogene Verbindung einzelner Daten zu einer Person, die diese wertvoll machen. Weiß man, wie sich eine Person in bestimmten Situationen verhält oder welche Vorlieben sie zeigt, kann man auf ein Verhalten dieser Person in ähnlichen Situationen oder auf ähnliche Vorlieben schließen. So sind „statische“ schriftbasierte Angaben einer Person über sich selbst in vielen Konstellationen (z. B. Auswahlverfahren, Profilangaben in einem Netzwerk) in Hinblick auf das Kennlernen dieser Person in der Praxis oft weniger wert, als Daten, die diese Person in ihrem Verhalten in der Praxis zeigt.

Das Vertrauen auf vermeintlich aussagekräftige statische Daten, wie den Namen, um aus diesem z. B. auf kulturelle Vorlieben zu schließen, führt dagegen in einer globalisierten Welt zunehmend zu Fehlschlüssen. Die Pseudonymisierung von Daten widerspricht daher nur in seltenen Fällen wirtschaftlich effektiver Persönlichkeitsanalyse, was große Werbenetzwerke im Onlinebereich längst erkannt haben.

Datenschutzfreundliche Technologie als Wettbewerbsvorteil erkennen

Auch die im Privacy-by-Design-Ansatz angestrebte Verlagerung der Kontrolle vom Unternehmen hin zum Betroffenen sollten Unternehmen nicht fürchten. Zahlreiche Analyse-Apps (z. B. im Gesundheitsbereich) machen deutlich, dass Betroffene heute ein sehr großes Interesse daran haben, ihre Daten für Analyse- und Marketingzwecke freiwillig verfügbar zu machen. Je transparenter dabei das Verfahren für den Betroffenen ist, desto höher ist wohl seine Bereitschaft, auf Adblocker oder Ähnliches zu verzichten. Darüber hinaus haben bereits zahlreiche Unternehmen datenschutzfreundliche Technologie als wirksame Marketingstrategie erkannt.

Diese Entwicklung könnte darin münden, dass der Betroffene für Dienste bezahlt, deren Datenverarbeitung ausschließlich er selbst steuert. Ein aktuelles Beispiel ist das Projekt des „Workshops on Privacy in the Electronic Society“ mit dem Titel „UnLinked: Private Proximity-based Off-line OSN Interaction“. Ziel der Forscher war es, eine App zu entwickeln, mit der Nutzer des Netzwerkes LinkedIn offline unter Freigabe bestimmter Daten des eigenen Profils (z. B. Freunde, Unternehmensname) gegenüber einem Trustcenter Gemeinsamkeiten mit Personen feststellen können, die sich gerade in ihrer Nähe befinden. Die festgestellte Gemeinsamkeit konnte dann als Anknüpfungspunkt für ein Gespräch und / oder für die Verbindung in LinkedIn genutzt werden. Die Bereitstellung von Anonymisierungstechnik ermöglicht es hier, in datenschutzkonformer Weise einen Informationsabgleich durchzuführen, der sowohl für die Betroffenen als auch für das datensammelnde Netzwerk nützlich ist, jedoch ausschließlich von den Betroffenen kontrolliert wird.

Fazit: Einbindung des Betroffenen für mehr wirtschaftliche und rechtliche Sicherheit

Privacy by Design ist sowohl im geltenden als auch im künftigen Datenschutzrecht verankert. Ein Verstoß gegen das Gebot, möglichst datenschutzkonforme IT einzusetzen, ist nach künftigem Recht empfindlich sanktionierbar.

Unternehmen sollten jedoch nicht nur aus rechtlichen, sondern auch aus genuin wirtschaftlichen Gesichtspunkten auf datenschutzkonforme IT setzen. Denn da, wo der Betroffene über die Verwendung seiner Daten informiert ist und diese auch aktiv kontrollieren kann, ist mit seiner Akzeptanz und Einwilligungsbereitschaft zu rechnen. Intransparente, „monologische“ Datenverarbeitungen ohne Beteiligung des Betroffenen stärken dagegen das zunehmende Misstrauen der Bevölkerung in die Verarbeitung ihrer Daten.

Bitte bewerten Sie diese Inhalte!
[22 Bewertung(en)/ratings]
0 Kommentare

Ihr Kommentar

Sie wollen sich an der Diskussion beteiligen oder haben eine Rückfrage zum Artikel? Dann hinterlassen Sie bitte hier einen Kommentar!
Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.