Kategorien
Neueste Beiträge
Datenschutz: Technikgestaltung und datenschutzfreundliche Voreinstellung
Art. 25 DSGVO behandelt einen wichtigen Aspekt des Datenschutzes, den Verantwortliche teilweise übersehen. Dabei birgt es Risiken, diesen Artikel bei der Entwicklung von Soft- und Hardware und bei Einrichtung der Voreinstellungen außer Acht zu lassen. Um dieser Problematik gerecht zu werden und die Gefahren beim Datenschutz einzudämmen, sollte ein Verantwortlicher aber auch wissen, worum es sich bei diesen Begriffen handelt. Im folgenden Artikel gehen wir näher auf Art. 25 DSGVO ein und erklären, wobei es sich bei Datenschutz durch Technikgestaltung (bzw. Privacy by Design) und Datenschutz durch datenschutzfreundliche Voreinstellungen (Privacy by Default) handelt.
Datenschutz durch Technikgestaltung | Privacy by Design (Art. 25 Abs. 1 DSGVO)
Die Bezeichnung selbst gibt Hinweise darauf, worum es sich hierbei handelt. Sie bezieht sich auf die Programmierung. Einfach ausgedrückt heißt es, dass ein Programmierer schon bei der Erstellung einer App oder eines Programmes den Datenschutz bewusst beachtet und in einer Weise programmiert, die dem Datenschutz gerecht wird. Das heißt im Einzelnen, dass er technische und organisatorische Maßnahmen einbezieht, die zum Schutz der personenbezogenen Daten beitragen. Darunter gehören unter anderem die Pseudonymisierung oder die Verschlüsselung. Zu beachten ist auch die Datenminimierung. Das heißt, die Software soll nutzbar sein, indem ein Nutzer möglichst wenig personenbezogene Daten angibt bzw. nur diese, die er zur Nutzung einer Soft- oder Hardware tatsächlich benötigt.
Datenschutz durch datenschutzfreundliche Voreinstellungen | Privacy by Default (Art. 25 Abs. 2 DSGVO)
Bei datenschutzfreundlichen Voreinstellungen sprechen wir von den technischen und organisatorischen Maßnahmen, die gewährleisten, dass ein Verantwortlicher nur die personenbezogenen Daten verarbeitet, die zur Erfüllung des Zwecks vonnöten sind. Dabei muss der Verantwortliche also die Menge erhobener Daten minimalisieren. Des Weiteren darf er die Daten auch nur so lange verarbeiten, wie es erforderlich ist. Ändert eine betroffene Person die Einstellungen entsprechend, sodass beispielsweise Daten verarbeitet werden dürfen, die über das Mindestmaß hinausgehen, ist es in Ordnung. Dann hat es der Betroffene selbst veranlasst.
Wen dies an die Cookie-Banner auf Webseiten erinnert, liegt richtig. Hierbei reden wir allerdings nicht von Cookies, sondern von Daten, die ein Hersteller einer Soft- oder Hardware sammelt, wenn der Nutzer mit dem jeweiligen Programm, der App etc. arbeitet. Ändert der Nutzer die Voreinstellungen zum Datenschutz nicht – natürlich vorausgesetzt, dass sie so festgelegt sind, dass keine Daten gesammelt werden -, sind sie auch weiterhin nicht zu erheben.
Risiken bei Missachtung von Art. 25 DSGVO
Aktuell haben die Datenschutzaufsichtsbehörden noch keinen vorrangigen Augenmerk auf diesen Aspekt des Datenschutzes gelegt. Dennoch sollte sich ein Verantwortlicher nicht in Sicherheit wiegen: Es kann in der Zukunft schwerwiegende Folgen haben. Wird der Datenschutz bei der Erstellung eines Programms o. A. außer Acht gelassen, kann es zum späteren Zeitpunkt kostenaufwendig werden. Dann kann der Fall eintreten, dass ein Verantwortlicher alle Einstellungen erneut betrachten und gegebenenfalls ändern muss. Dies kann sich als schwierig, wenn nicht sogar unmöglich erweisen. Im schlimmsten Fall kann die Folge sein, dass die komplette App – oder worum auch immer es sich handelt – neu konzipiert und entwickelt werden muss. Gleichermaßen kann es vorkommen, dass ein Mitarbeiter oder sonstige betroffene Person eine Meldung an die Datenschutzaufsichtsbehörde tätigt und eventuell ein Bußgeld folgen kann. Alternativ kann es auch einen Schadenersatzanspruch geben. Abmahnungen sind eine zusätzliche Gefahr.
Vorbeugende Maßnahmen
Es gibt zahlreiche Wege, Art. 25 DSGVO gerecht zu werden und damit die Regelungen der DSGVO einzuhalten. Wie vorhergehend erwähnt, kann ein Verantwortlicher den Anforderungen gleich schon von Anfang bei der Konzeption, Entwicklung und Programmierung entsprechend arbeiten. Ist die Soft- oder Hardware schon in Betrieb, ist es für einen Verantwortlichen eventuell möglich, rückwirkend Änderungen am Design vorzunehmen. Dies kann sich allerdings als kompliziert erweisen. Eine Programmierung bzw. Änderung an einer Soft- oder Hardware führt gegebenenfalls zu Fehlern in Programmierungen, die auf die anfängliche aufbauen.
Natürlich ist die beste Variante, den Datenschutz von Anfang an im Auge zu behalten und zu beachten. Ist ein Verantwortlicher sich darüber nicht im Klaren, kann er einen Datenschutzbeauftragten/-berater zu Rate ziehen.
Wenn Sie dafür keine geeignete Person kennen, helfen wir Ihnen gern (mehr Informationen zu unseren Kompetenzen finden Sie hier).
Fazit
Es ist immens wichtig, von Anfang an mit dem Datenschutz im Blick zu arbeiten. Dies kann sowohl Zeitaufwand als auch finanzielle Mittel und Ärger im Allgemeinen ersparen. Vorteilhaft sein kann es für das Vertrauen in das Unternehmen. Zusätzlich ermöglicht es aber auch größeren Erfolg. Des Weiteren können die Vorteile durch eine Zertifizierung gemäß Art. 42 DSGVO gesteigert bzw. bestätigt werden, auch wenn die Datenschutzaufsichtsbehörden diese bisher nicht offiziell anerkennen. Wenn Sie also sichergehen möchten, von den Vorteilen beim Datenschutz zu profitieren und die Risiken der Nachteile möglichst geringhalten möchten, kontaktieren Sie uns: Wir helfen gern.