Datenschutz, das ist für viele Unternehmen noch immer etwas, um das man sich erst kümmert, wenn alles steht: Umzug in die Cloud, die teuer beauftragte Entwicklung einer App oder das aufwendig programmierte Logistiksystem. Was Unternehmen auch nach wie vor schwer fällt, sind die Anforderungen aus Art. 25 Datenschutz-Grundverordnung (DSGVO) einzuhalten. Die Verordnung verpflichtet Unternehmen, beim Einsatz von IT und Software zu prüfen, ob diese nach Datenschutzmaßstäben entwickelt wurden und eingesetzt werden (Privacy by Design). Hierneben müssen geeignete Voreinstellungen so eingesetzt werden, dass die Datenschutzgrundsätze aus Art. 5 DSGVO eingehalten werden können (Privacy by Default).
Ein Verstoß gegen Privacy by Design und Privacy by Default kann mit hohen Bußgeldern belegt werden. Dabei kann datenschutzkonforme IT sowohl für Unternehmen als auch Betroffene einen großen Nutzen haben.
Privacy by Design und Privacy by Default als Lösung moderner Datenschutzprobleme
Personenbezogene Daten, so eine beliebte Aussage, sind das Gold des 21. Jahrhunderts. Bei genauerem Hinsehen hinkt der Vergleich allerdings, da Daten im Gegensatz zu Gold weder nach Belieben angehäuft noch eingesetzt werden dürfen. Auch sind Daten nicht wie Gold übertragbar: Sie verbleiben stets Persönlichkeitsmerkmal eines Betroffenen. Dieser Betroffene soll, so besagt es das Recht auf informationelle Selbstbestimmung, stets Herr seiner Daten bleiben.
Doch wie lässt sich diese Forderung in einer Welt realisieren, in der personenbezogene Daten faktisch wohl deutlich fungibler sind als Gold? In einer Welt, in der Betroffene Einwilligungserklärungen für eine Verarbeitung ihrer Daten kurzerhand abhaken, weil sie keine Zeit oder Lust haben, sich mit den umfangreich beschriebenen Risiken (z. B. Weitergabe an Dritte, Datenübermittlung in einen unsicheren Drittstaat) auseinanderzusetzen?
Die Anforderungen aus Art. 25 DSGVO können hier eine Lösung darstellen, nämlich
- Privacy by Design, die datenschutzkonforme Konzeption und Entwicklung von IT-Systemen, sowie
- Privacy by Default, datenschutzfreundliche Voreinstellungen.
Grob gesagt soll eine Technik standardmäßig stets bestimmte Funktionalitäten zum Schutz der Nutzer bereitstellen und diese sollen dann auch voreingestellt sein.
Eine App soll etwa so konzipiert sein, dass sie standardmäßig nur solche Daten verarbeitet, die für die Basisfunktionalität erforderlich sind und die Funktionalität für den Nutzer bietet, Einstellungen selbst zu treffen (Privacy by Design). Zudem sind bei Installation bzw. Auslieferung nur die minimalen Rechte für die Basisfunktionen voreingestellt (Privacy by Default).
Alle weiteren Funktionen, für die weitere Daten des Betroffenen benötigt würden, müssen vom Nutzer vorher aktiviert werden, wenn er dies wünscht. Vor jeder einzelnen Aktivierung wäre der Nutzer in wenigen Sätzen über den Nutzen, die zugriffsberechtigten Empfänger und die Speicherdauer der jeweiligen Daten zu informieren.
Für den Fall, dass der Nutzer jederzeit auf die Standardkonfiguration der App zurückkehren kann, wären Änderungen oder Ergänzungen des Zwecks einzelner wählbarer Funktionen bedenkenlos umsetzbar. Der Betroffene bliebe so stets Herr seiner Daten, weil er zu jeder Zeit genau wüsste, welche App-Funktion welche seiner Daten zu welchem Zweck benötigt, und weil er einzelne Funktionen aktivieren oder deaktivieren könnte.
Beispiel: Compliance im Unternehmen durch Privacy by Design und Privacy by Default
Als besonders nützlich kann sich Privacy by Design bzw. by Default im Beschäftigungskontext erweisen: Soll etwa die angesprochene App im Unternehmen eingesetzt werden und entspricht die Standardkonfiguration dem, was der Arbeitgeber von seinem Arbeitnehmer vertraglich erwarten darf (z. B. Verwendung der App zu Kommunikationszwecken), kann hinsichtlich der Einwilligung in Zusatzfunktionen (z. B. Aktivierung eines verknüpften Geburtstagskalenders und damit Mitteilung an den Arbeitgeber) von einer freiwilligen Entscheidung des Arbeitnehmers ausgegangen werden. Dieser willigt dann zwar in die Verarbeitung seines Geburtsdatums ein. Dies tut er jedoch nicht, weil er andernfalls die App als solche nicht nutzen kann – und deswegen Konsequenzen des Arbeitgebers fürchten müsste.
Der Arbeitgeber wiederum müsste nicht fürchten, eine nicht rechtskonforme Einwilligung eingeholt zu haben, da er bei Einfügung der App auf die Freiwilligkeit und über den über die Basisfunktion hinausgehenden Verarbeitungszweck hinweist.
Das Beispiel zeigt, wie es technisch möglich ist, durch den Einsatz von Privacy-by-Design-Systemen das informationelle Selbstbestimmungsrecht des Betroffenen zu wahren. So entsteht eine Win-Win-Situation: Auf Seiten des Betroffenen führt der Einsatz von Privacy-Enhancing-Technologies zu einer höheren Akzeptanzbereitschaft, auf Seiten des Unternehmens zu mehr Rechtssicherheit.
Die datenschutzrechtlichen Prinzipien von Privacy by Design und Privacy by Default
Für die Entwicklung, Anschaffung und den Einsatz datenschutzkonformer IT konkretisiert die europäische Datenschutz-Grundverordnung (DSGVO) Datenschutzprinzipien, die in der Literatur unter dem Stichwort „Privacy by Design und Privacy by Default“ seit Langem diskutiert werden. Die drei wesentlichsten Grundsätze sind:
- Transparenz der Datenverarbeitung und Kontrollmöglichkeit durch den Betroffenen;
- Einsatz von Verfahren, die technischen Sicherheitsstandards genügen;
- Datenschutzkonforme Voreinstellungen. Hierzu gehört insbesondere die Umsetzung der Grundsätze von Datenminimierung und Speicherbegrenzung.
Ein weiteres, nicht zwingend datenschutzrechtliches Prinzip, ist die leichte Bedienbarkeit eines Systems, einschließlich der Freigabe und dem Entzug von Berechtigungen, die insbesondere eine Diskriminierung älterer, jüngerer und behinderter Menschen verhindern soll.
Je nach dem, welchem Privacy-by-Design-Modell man in der Literatur folgen möchte, kommen weitere Prinzipien hinzu. Diese können aber, wie etwa die befristete Gültigkeit von Zertifikaten oder sichere Authentifizierungsverfahren auch den bereits genannten Prinzipien untergeordnet werden.
Letztlich ist es sinnvoll, dass man Privacy by Design und Privacy by Default ganzheitlich begreift. Es geht darum, alle zum Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden Rechte und Freiheiten natürlicher Personen erforderlichen, geeigneten technischen und organisatorischen Maßnahmen (TOM) zu treffen. Hierfür müssen Verantwortliche zunächst Strategien festlegen, die den Anforderungen des Privacy by Design bzw. Privacy by Default genügen.
Privacy by Design gibt damit eine Antwort auf die Frage nach dem Wie zur Gewährleistung der Datenschutzgrundsätze aus Art. 5 DSGVO. Nur bei Verarbeitungen nach Maßgabe dieser Grundsätze sind Verantwortliche in der Lage, allen Pflichten aus der DSGVO nachzukommen.
Das datenschutzrechtliche Transparenzprinzip ist bereits in zahlreichen Pflichten und Rechten der DSGVO verkörpert. Neben dem normierten Transparenzgrundsatz aus Art. 5 Abs. 1 lit a DSGVO, ist das Auskunftsrecht nach Art. 15 DSGVO hervorzuheben. Danach ist dem Betroffenen auf Antrag über sämtliche verarbeitungsrelevante Umstände, Auskunft zu erteilen.
Da das Auskunftsrecht auch das Recht auf Kopie miteinschließt, kann es in der Praxis zu einer teuren und zeitraubenden Last für die Verantwortlichen werden. Vor Einführung eines datenverarbeitenden Systems, sollte daher geprüft werden, inwiefern Verantwortliche in der Lage sind, automatisierte Exporte von Betroffenendaten systemseitig abzufragen. Hierbei ist insbesondere darauf zu achten, dass die Abfrage auf Ebene einzelner Betroffener möglich ist und nicht nur ein gesamter Datenbanksatz.
Tipp: Lesen Sie unsere Anleitung für den Umgang mit Anfragen Betroffener und nutzen Sie unsere kostenlose Vorlage für eine Richtlinie Betroffenenanfragen, um eine einheitliche Regelung in Ihrem Unternehmen sicherzustellen.
Neben dem Transparenzprinzip ist auch der Einsatz von Verfahren, die technischen Sicherheitsstandards genügen, im geltenden Datenschutzrecht mehr oder weniger explizit geregelt. So sehen zahlreiche Regelungen in der Verordnung vor, dass neben organisatorischen auch geeignete technische Maßnahmen eingesetzt werden müssen. Hervorzuheben sind hier insbesondere die Anforderungen aus Art. 24 sowie 32 DSGVO. In der Praxis erweisen sich diese Regelungen allerdings immer wieder als problematisch, da Verantwortliche bei einmal eingesetzten IT-Systemen, die sie nicht selbst entwickelt haben, kaum Anpassungsspielraum haben, geschweige denn, eine Verschlüsselungstechnologie oder Multifaktorauthentifizierung nachträglich implementieren können.
Die DSGVO fordert die Verantwortlichen daher vielerorts dazu auf, „unter Berücksichtigung des Stands der Technik und der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die persönlichen Rechte und Freiheiten […] sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung angemessene technische und organisatorische Maßnahmen“ sicherzustellen (Art. 25 Abs. 1 DSGVO).
Ferner sollen, gemäß Erwägungsgrund 78 Satz 4 der Verordnung, „die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Auslegung der Produkte, Dienste und Anwendungen zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen, dass die für die Verarbeitung Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen.“
Auch wenn von einer Pflicht der Hersteller im Verordnungstext selbst keine Rede ist, kann sich – so der Wunsch – die Pflicht der Verantwortlichen, den Einsatz datenschutzkonformer Systeme zu prüfen, jedenfalls mittelbar auf die Hersteller von IT-Systemen auswirken.
Art. 25 Abs. 2 DSGVO fordert, durch Voreinstellung eines Systems sicherzustellen, dass nur solche personenbezogenen Daten verarbeitet werden, die für den jeweils bestimmten Verarbeitungszweck erforderlich sind. Konkret soll dies für den Umfang der erhobenen Daten, den Umfang der Verarbeitung, die Speicherfrist und die Zugänglichkeit der Daten gelten. So darf eine Person, welche die Teilnahme an einem sozialen Netzwerk wünscht, nicht dazu gezwungen werden, ihr Profil vorab mit Daten zu füllen, die für die vertragsgemäße Teilnahme an diesem Netzwerk gar nicht erforderlich sind.
Darüber hinaus verlangt Art. 25 DSGVO, dass ein einmal erstelltes Profil nicht ohne Eingreifen einer natürlichen Person (z. B. den Betroffenen oder einen Kundenbetreuer des Netzwerkes) „einer unbestimmten Zahl natürlicher Personen“ zugänglich gemacht wird. Hier wird der grundlegende Gedanke von Privacy by Design deutlich, wonach der Betroffene (oder eine von ihm beauftragte Person) über Umfang und Art der Verarbeitung seiner Daten entscheiden soll.
Datenschutzwidrige Technik empfindlich sanktionierbar
Setzt eine verantwortliche Stelle trotz Vorhandenseins datenschutzkonformer Alternativen auf unsichere bzw. datenschutzkritische IT, muss sie gemäß Art. 83 Abs. 4 DSGVO mit einem Bußgeld von bis zu 10.000.000 Euro (im Fall eines Unternehmens von bis zu 2 % seines weltweiten Jahresumsatzes, falls dieser Betrag höher ist) rechnen. Verantwortliche sollten daher bei der Auswahl von Systemen besonders darauf achten, dass diese zumindest in der Standardeinstellung möglichst wenige personenbezogene Daten verarbeiten bzw. durch Einsatz von Pseudonymisierungstechnik die Aussagekraft der verarbeiteten Daten gezielt begrenzen.
Kommt es demgegenüber trotz Privacy by Design zu einem Datenschutzverstoß, muss die Aufsichtsbehörde den Einsatz datenschutzfreundlicher IT gemäß Art. 82 Abs. 2 lit d) DSGVO bei der Entscheidung über eine Geldbuße und deren Höhe berücksichtigen.
Wirkt Privacy by Design wirtschaftshemmend oder -fördernd?
Wirtschaftlicher Wert personenbezogener Daten erschöpft sich nicht in der Aussagekraft des einzelnen Datums
Auf den ersten Blick scheinen Privacy by Design und Privacy by Default nur die von vielen Unternehmen angestrebte Monetarisierung personenbezogener Daten zu hemmen. Der wirtschaftliche Wert eines personenbezogenen Datums, so könnte man denken, besteht darin, möglichst viele aus sich heraus aussagekräftige Daten über eine Person anzuhäufen. Vor dem Hintergrund, dass ein unkontrolliertes und unbegrenztes Anhäufen aber niemals zulässig war und mit der Datenschutz-Grundverordnung zudem empfindlich sanktioniert werden kann, ist ein strategischer Umgang mit dem Einsatz datenverarbeitender Technologie unabdingbar.
Der wirtschaftliche Wert personenbezogener Daten erschöpft sich nicht in der Aussagekraft des einzelnen Datums. Es ist meist die kontextbezogene Verbindung einzelner Daten zu einer Person, die diese wertvoll machen. Weiß man, wie sich eine Person in bestimmten Situationen verhält oder welche Vorlieben sie zeigt, kann man auf ein Verhalten dieser Person in ähnlichen Situationen oder auf ähnliche Vorlieben schließen. So sind statische schriftbasierte Angaben einer Person über sich selbst in vielen Konstellationen (z. B. Auswahlverfahren, Profilangaben in einem Netzwerk) in Hinblick auf das Kennlernen dieser Person in der Praxis oft weniger wert als Daten, die diese Person in ihrem Verhalten in der Praxis zeigt.
Das Vertrauen auf vermeintlich aussagekräftige statische Daten, wie den Namen, um aus diesem z. B. auf kulturelle Vorlieben zu schließen, führt in einer globalisierten Welt zunehmend zu Fehlschlüssen. Die Pseudonymisierung von Daten widerspricht daher nur in seltenen Fällen wirtschaftlich effektiver Persönlichkeitsanalysen, was große Werbenetzwerke im Onlinebereich längst erkannt haben. Für diese sind die Anwendung von Privacy by Design unverzichtbar. Auch ein Synthetisieren von Daten, sprich künstlich erzeugte, von Echtdaten abgeleitete Datensätze werden zunehmend eine Rolle in Big Data spielen müssen.
Datenschutzfreundliche Technologie als Wettbewerbsvorteil erkennen
Auch die im Privacy-by-Design-Ansatz angestrebte Verlagerung der Kontrolle vom Unternehmen hin zum Betroffenen sollten Unternehmen nicht fürchten. Zahlreiche Analyse-Apps (z. B. im Gesundheitsbereich) machen deutlich, dass Betroffene heute ein sehr großes Interesse daran haben, ihre Daten für Analyse- und Marketingzwecke freiwillig verfügbar zu machen. Je transparenter dabei das Verfahren für den Betroffenen ist, desto höher ist wohl seine Bereitschaft, auf Adblocker oder Ähnliches zu verzichten. Darüber hinaus haben bereits zahlreiche Unternehmen datenschutzfreundliche Technologie als wirksame Marketingstrategie erkannt. Siegel und Zertifikate sollen aber nie eine eigene Prüfung des Verantwortlichen vor Einsatz ersetzen. Oftmals werden Verantwortliche damit über eine vermeintliche Datenschutzkonformität getäuscht.
Tipp: Im Februar 2023 veröffentlichte die International Organization for Standardization mit der Norm ISO 31700 einen internationalen Standard für Privacy by Design.
Fazit: Einbindung des Betroffenen für mehr wirtschaftliche und rechtliche Sicherheit
Privacy by Design und Privacy by Default ist von immenser Bedeutung für die Zukunft des Datenschutzrechts. An die Stelle, wo der Verordnungsgeber es versäumt hat, etwa an internationale Hersteller von datenverarbeitenden Technologien mittels der DSGVO bestimmte Pflichten zu adressieren, verlagert Privacy bei Design diese Anforderung mittelbar auf diese Technologien anwendenden Verantwortlichen hierzulande und europaweit. Die Praxis zeigt bis dato leider, dass ein solcher Marktdruck erst vereinzelt und nicht flächendeckend wahrzunehmen ist.
Dabei sollten viele Unternehmen wider Erwarten nicht nur aus rechtlichen, sondern auch aus genuin wirtschaftlichen Gesichtspunkten auf datenschutzkonforme IT setzen. Denn da, wo der Betroffene über die Verwendung seiner Daten hinreichend informiert ist und diese auch aktiv kontrollieren kann, ist mit seiner Akzeptanz und Einwilligungsbereitschaft zu rechnen. Intransparente, monologische Datenverarbeitungen ohne Beteiligung des Betroffenen stärken dagegen das zunehmende Misstrauen der Bevölkerung in die Verarbeitung ihrer Daten.
Dieser scheinbar unauflösbare Konflikt zwischen Selbstbestimmung und Bezahlen mit den eigenen Daten scheint dem Grundsatz auf datenschutzfreundliche Voreinstellung diametral entgegenzustehen. Langfristig wird der Konflikt vermutlich nur mit Druck auf die großen, datenmächtigen Hersteller befriedet werden. Entweder durch den Markt auch mittels Privacy-by-Design-Anforderungen oder mittels direkter Sanktionsmöglichkeit. Ersteres bedarf einer weitaus umfangreicheren Rechtsdurchsetzung, welche derzeit noch an den Ressourcen der hierfür verantwortlichen öffentlichen Stellen scheitert.
Nichtsdestotrotz ist ein Verstoß gegen das Gebot, möglichst datenschutzkonforme IT einzusetzen, weiterhin empfindlich sanktionierbar. Bereits aus diesem Grund sollten Unternehmen im Zweifel zur datenschutzfreundlicheren Lösung greifen. Dies setzt voraus, dass man sich zunächst aber mit dem möglichen Einsatz verschiedener Lösungen befasst. Von daher gilt auch hier, so frühzeitig wie möglich auf den datenverarbeitenden Prozess maximal Einfluss zu nehmen. Dies beginnt bereits bei der Auswahl, ergo vor Anschaffung. Empfehlenswert ist es daher, standardmäßig einen verpflichtenden Anforderungskatalog für den Einsatz neuer Technologie im Unternehmen heranzuziehen.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!