Zum Hauptinhalt springen

Notizen zur Präsentation

Datenschutz durch Voreinstellung

Unternehmen/Organisationen sind angehalten, zum frühestmöglichen Zeitpunkt der Gestaltung der Verarbeitungsvorgänge technische und organisatorische Maßnahmen zu treffen, die darauf ausgelegt sind, die Privatsphäre zu schützen und Datenschutzgrundsätze von Beginn an zu garantieren („Datenschutz durch Technikgestaltung“). Durch Voreinstellung sollen Unternehmen/Organisationen sicherstellen, dass personenbezogene Daten mit dem größtmöglichen Datenschutz (zum Beispiel sollten ausschließlich benötigte Daten verarbeitet werden, kurze Speicherfristen und begrenzte Zugänglichkeit vorgesehen werden) verarbeitet werden, damit diese Daten von vornherein nicht einer unbestimmten Zahl von Personen zugänglich gemacht werden („datenschutzfreundliche Voreinstellungen“).

Beispiele

Datenschutz durch Technikgestaltung

Die Nutzung der Pseudonymisierung (Ersatz personenbezogener Informationen durch künstliche Kennungen) und Verschlüsselung (Kodierung von Nachrichten, damit nur Befugte sie lesen können).

Datenschutzfreundliche Voreinstellung

Soziale Medien-Plattformen sollten ermutigt werden, die Voreinstellung der Nutzerprofile auf bestmögliche datenschutzfreundliche Weise vorzunehmen, indem zum Beispiel von Beginn an die Zugänglichkeit zum Nutzerprofil eingeschränkt wird, sodass es nicht durch Voreinstellung einer unbestimmten Zahl von Personen zugänglich ist.

Artikel 25 DSGVO

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen — wie z. B. Pseudonymisierung — trifft, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.

(2) Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.

(3) Ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in den Absätzen 1 und 2 des vorliegenden Artikels genannten Anforderungen nachzuweisen.

Gesetzliche Grundlagen

  • REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL
  • Erwähnungsgrund 78: Zum Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden Rechte und Freiheiten natürlicher Personen ist es erforderlich, dass geeignete technische und organisatorische Maßnahmen getroffen werden, damit die Anforderungen dieser Verordnung erfüllt werden. Um die Einhaltung dieser Verordnung nachweisen zu können, sollte der Verantwortliche interne Strategien festlegen und Maßnahmen ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge tun. Solche Maßnahmen könnten unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, der betroffenen Person ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen, und der Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern. In Bezug auf Entwicklung, Gestaltung, Auswahl und Nutzung von Anwendungen, Diensten und Produkten, die entweder auf der Verarbeitung von personenbezogenen Daten beruhen oder zur Erfüllung ihrer Aufgaben personenbezogene Daten verarbeiten, sollten die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen, dass die Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen. Den Grundsätzen des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen sollte auch bei öffentlichen Ausschreibungen Rechnung getragen werden.

Artikel 25 in deutsch

Datenschutz durch Technik und dateschutzfreundliche Voreinstellungen

  • Der Verantwortliche wird aufgefordert technische und organisatorische Maßnahmen (Abkürzung TOM) im Sinne der DSGVO umzusetzen.
  • Diese werden im Erwägungsgrund 78 beschrieben.
  • Datenverarbeitung nicht nur im elektronischer Form, sondern auch in Papierform.

Datenschutz durch Technikgestaltung

- Privacy by Design oder auch Data Protection by Design
- Vereinfacht: "Von Beginn an eingebauter/eingeplanter Datenschutz"
- Dieser Bereich umfasst:
    - Eine gute Struktur entwickeln, bevor etwas in Auftrag gegeben wird/Programmiert/aufgebaut etc.
    - Sicherheitslücken durch verstärkten Datenschutz in die Basisstruktur eines Systems einbetten
    - Gleich am Anfang Festlegen und Nutzung von hohen Sicherheitsstandards
    - Dokumentation von Sicherheitsrisiken und Technologien
    - Technischen Voreinstellungen, gleich zu beginn so vornehmen, dass sie dem Datenschutz entsprechen. (nicht erst im nachhinein Datenschutzkonform "nachbessern")
- Nachteile:
    - Initialer extra Aufwand/Kosten
- Vorteile:
    - potentielle zukünftige Probleme können früh erkannt werden -> ausbessern
    - potentielle Rufschädigung und damit verbundenen Kosten können verhindert werden

Datenschutzfreundliche Voreinstellungen

  • "Pricacy by Default" oder auch "Data Protection by Default"

  • Minimierung bei der Erfassung personenbezogener Daten

    • Pseudonymisierung
    • Transparenz bei der Funktion und Verarbeitung personenbezogener Daten Der Verantwortliche wird hierdurch in die LAge versetzt, Sicherheitsfunktionen zu verbessern und zu schaffen.

  • Vorteile:

    • Firmen können damit werben, dass sie hohe Sicherheitsstandards pflegen und Personenbezogene Daten sicher aufgehoben sind.
    • Marketing Funktion, sowohl bei SAAS als auch bei Software for Consuners

Quellen