Privacy by Default

Privacy by Default

Nutzer bzw. betroffene Personen nehmen es eventuell gar nicht so sehr wahr, aber mit Privacy by Default werden sie beständig bei der Nutzung digitaler Dienste konfrontiert.

Was ist „Privacy by Default”?

Der Begriff “Privacy by Default” gemäß Art. 25 Abs. 2 DSGVO ist der wahrscheinlich gängigere. Auf Deutsch geht es um die datenschutzfreundlichen Voreinstellungen. Das bedeutet in der Praxis, dass der Verantwortliche technische und organisatorische Maßnahmen ergreift, um zu gewährleisten, dass er nur die Daten verarbeitet, die zur Erfüllung des Zweckes notwendig sind.

Die Umsetzung von „Privacy by Default“

Möglicherweise sagt dieser Begriff einem Verantwortlichen nichts, aber er setzt ihn aufgrund der Beachtung von beispielsweise Art. 6 Abs. 1 DSGVO dennoch um. Wie dies möglicherweise in der Praxis aussehen kann, schauen wir uns in folgenden Beispielen an.

Beispiel 1: Cookies, Fingerprinting und Skripte

Wie begehrt der Einsatz dieser für viele App-, Webseiten-Betreiber sowie internetfähige Gerätehersteller ist, wissen viele Personen, die sich deren digitalen Dienste zunutze machten. Dies haben wir in sowohl Beiträgen (Link) als auch in unserem Video zum Thema Cookies erläutert. Wenn ein Verantwortlicher dabei die Vorgaben der DSGVO beachtet, sieht es so aus, dass er diese Tracking- und Analysendienste nur einsetzt, wenn die Einwilligung des Nutzers vorliegt. Betrachten wir dies genauer, dann sind die Felder für die Einwilligung nicht schon mit Häkchen versehen. – Zur Erinnerung an bekannte Urteile: Sowohl der BGH (Az.: I ZR 7/16) als auch der EuGH (Az.: C-673/17) urteilten zum Thema Cookies und deren datenschutzkonformen Einsatz. Mehr hierzu auch in u. a. diesem Beitrag. – So lange ein Nutzer also die Einwilligung nicht erteilt hat, setzt ein Verantwortlicher idealerweise keine diese technisch nicht notwendigen Dienste ein.

Beispiel 2: Internetfähige Kameras

Wenn es um Datenschutz und die Internetfähigkeit von Kameras geht, denken wir zuallererst an Videoüberwachung. Darüber schreiben wir aber in diesem Moment nicht. Wir denken gerade an die Kameras, die nicht im Smartphone integriert, sondern separate Geräte sind und mit denen man Bilder schießen kann. Moderne Modelle heutzutage sind internetfähig. Nun könnten wir die Vorteile solcher Modelle erörtern, aber das ist nicht Ziel dieses Beitrages. Ziel ist es, auch hier zu veranschaulichen, dass ein Hersteller einer internetfähigen Kamera die Werkseinstellungen so vorgenommen hat, dass er beispielsweise keine Daten zum Standort der Kamera oder zu den Bildeinstellungen ohne explizite Aktivierung verarbeitet. Erlaubt der Fotograf dies, so wird er es entsprechend selbst aktivieren. Dabei ist zu beachten, dass selbst der Anschluss der Kamera ans Internet übrigens keine Einwilligung zur Datenerhebung darstellt.

Beispiel 3: Internetfähige Baby-Monitore

So manches Elternteil möchte seinem Kind die bestmögliche Erziehung gewährleisten. In der heutigen Welt gehört dabei oft ein Baby-Monitor dazu. Nicht wenige davon sind internetfähig. Auch hierbei könnte eine ganze Menge an Informationen für Unternehmen interessant sein. Das allererste, was einem dabei in den Sinn kommt, sind die Aufnahmen selbst – natürlich vorausgesetzt, in dem Gerät ist eine Kamera verbaut. Bei einer Beachtung um Umsetzung der datenschutzfreundlichen Voreinstellung werden die Aufnahmen beispielsweise nicht sofort gestartet, sobald das Gerät angeschaltet oder mit dem Internet verbunden ist. Stattdessen sollte die Aufnahme in den Grundeinstellungen deaktiviert sein. Genauso verhält es sich auch, wenn es darum geht, nur Live-Aufnahmen oder auch das Speichern in der Cloud zu ermöglichen. Auch hier sollte das Speichern in der Cloud erst stattfinden, wenn der Nutzer dies aktiv so einstellt.

Zwischenauswertung

Die oben genannten Beispiele zeigen, wie eine datenschutzkonforme Umsetzung von Art. 25 Abs. 2 DSGVO aussehen kann. Teilweise können wir übrigens auch auf die datenschutzfreundliche Technikgestaltung (auch: Privacy by Design, Art. 25 Abs. 1 DSGVO) lenken. Demnach sollte es bei dem Baby-Monitor also überhaupt technisch möglich sein, die Kamera aktiv ein- oder auszuschalten. Die Fotokamera sollte die mitunter personenbezogenen Daten nicht sofort aufgrund des technischen Baus jegliche Daten an den Hersteller senden. Und auch die App sollte nicht so konzipiert sein, dass sie sofort bei Installation die Nutzerdaten an den Betreiber übermittelt.

Datenschutzvorfälle und Bußgelder

Einen zum jetzigen Zeitpunkt wohl interessanten Datenschutzvorfall verursachte Sony mithilfe dem Playstation-5-Controller. Dem Artikel zufolge war das Mikrofon in den Standardeinstellungen aktiviert. Die Besitzer der Playstation wussten dies nicht. Somit waren Gespräche mithörbar, die es sicherlich nicht sein sollten. Von den Datenschutzaufsichtsbehörden gibt es bisher keine Reaktion, Stellungnahme o. Ä. hierzu.

Die Französische Datenschutzaufsichtsbehörde verhängte ein Bußgeld von 800.000 Euro gegen Discord (Link). Das Bußgeld beruht u. a. darauf, dass Nutzer irrtümlich davon ausgingen, sie würden das Programm schließen, wenn sie auf das „X“ oben rechts im Fenster klickten. – Normalerweise geht ja ein Nutzer auch davon aus, dass er ein Programm schließt, wenn er darauf klickt. – Nicht so bei Discord. Hier stand das „X“ für das Minimieren des Fensters, was bedeutete, dass der jeweilige Nutzer dennoch eingeloggt war und das Programm weiterlief und somit auch etwaige Audio- und/oder Videoaufzeichnungen stattfanden.

Gegen die Budapest Bank Zrt. Verhängte die ungarische Datenschutzaufsichtsbehörde ein Bußgeld. Dieses Bußgeld beruht u. a. eben auch auf einem Verstoß gegen Art. 25 Abs. 2 DSGVO. Dies insofern, dass die Bank Kundengespräche automatisch zur Auswertung aufzeichnete. – Mehr dazu hier. –

Fazit

Auch wenn Art. 25 Abs. 2 DSGVO einer der scheinbar am wenigsten erwähnten Vorgaben der DSGVO ist, empfehlen wir Verantwortlichen diesen unbedingt bei Betrachtung von Verarbeitungstätigkeiten zu beachten. Damit einhergehen ggf. Datenschutz-Folgenabschätzungen, etwaige für den Datenschutz relevante Verträge (wahrscheinlich in den meisten Fällen Auftragsverarbeitungsverträge), Datenschutzinformationen, eventuelle Einwilligungserklärungen oder auch die zusätzliche Angabe im Verzeichnis von Verarbeitungstätigkeiten.

Hierbei und auch bei der gesamten Umsetzung der DSGVO in Ihrer Einrichtung können wir Sie unterstützen und beraten. Kontaktieren Sie uns gern.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.