Privacy by design, oder wie man die Privatsphäre von Anfang an schützen kann

Die Frage des Privacy by Design kam natürlich mit dem Inkrafttreten der DSGVO auf, um die Privatsphäre der Nutzer zu schützen.

Da die Unternehmen nun voll und ganz für die ordnungsgemäße Verarbeitung personenbezogener Daten verantwortlich sind, mussten sie sich an diese neue Regelung anpassen, da ihnen bei einer von der CNIL festgestellten Nichteinhaltung eine Geldstrafe droht, die auf bis zu 4 % des weltweiten Umsatzes angehoben werden kann.

Aber was genau versteht man unter Privacy by Design? Welche Grundsätze ergeben sich daraus und was ist der Unterschied zu Privacy by default ? Und schließlich: Wie können Sie Privacy by Design in Ihrem Unternehmen richtig umsetzen? Die Antworten in diesem Artikel!

Alle Datenschutz-Grundverordnung Software ansehen

Was ist Privacy by Design?

Privacy by design: Definition

Das Prinzip Privacy by Design (PbD) bedeutet, dass der Schutz personenbezogener Daten ein integraler Bestandteil der Überlegungen im Vorfeld eines jeden Unternehmensprojekts sein muss. Schon bei der Konzeption einer neuen Dienstleistung, einer Funktion oder einer Marketingkampagne muss der Schutz der Privatsphäre zu den absoluten Prioritäten gehören.

Privacy by design ist in Artikel 25 der DSGVO (Allgemeine Datenschutzverordnung) aufgetaucht, und die Nichteinhaltung dieses Prinzips kann im Falle einer Kontrolle durch die CNIL zu finanziellen Sanktionen oder sogar zu Gerichtsverfahren führen.

Die Vorteile von Privacy by Design

Auch wenn Privacy by Design auf den ersten Blick rechtliche, technische und zeitliche Einschränkungen mit sich bringt, bringt es auch einige Vorteile hervor, wie z. B. :

• Die Senkung der Ausgaben für die Einhaltung der Gesetze. Wenn man den Datenschutz von Anfang an berücksichtigt, lassen sich einige Unannehmlichkeiten vermeiden. Zum Beispiel die Tatsache, dass man einige Punkte des Projekts überarbeiten muss, um die Vorschriften einhalten zu können. Dies kann zu zusätzlichen Kosten, Verzögerungen oder sogar zu einer Infragestellung des Projekts führen;
• die Verringerung des Risikos, wegen einer Nichteinhaltung rechtlich belangt zu werden ;
• die Entwicklung einer Vertrauensbeziehung mit dem Nutzer, der dank der Transparenz über die Datenverarbeitung sicher sein kann, dass seine Daten mit größter Sorgfalt behandelt werden ;
• die Erhöhung der Einwilligungen. In der Tat kann die Transparenz der Datenverarbeitung einige Nutzer beruhigen, die früher aufgrund fehlender Informationen zurückhaltend waren. Dies kann dazu führen, dass sie leichter ihre Zustimmung geben;
• Einsparungen durch einen geringeren Bedarf an Speicherkapazitäten, die sich manchmal auf beträchtliche Summen belaufen können.

Der DPO: Garant für die Einhaltung der DSGVO.

Der DPO ist der Data Protection Officer, d. h. der Verantwortliche für die Datenverarbeitung. Diese neue Querschnittsfunktion ist mit dem Inkrafttreten der DSGVO entstanden und ermöglicht die Umsetzung von Privacy by Design.

Diese zentrale Funktion eines Unternehmens ist dafür verantwortlich, dass jeder Mitarbeiter/jede Mitarbeiterin bei jedem Projekt des Unternehmens, sei es eine Marketingkampagne oder Fragen der Cybersicherheit, die Privatsphäre respektiert.

Der DSB wird also :

• die Frage der personenbezogenen Daten bereichsübergreifend steuern ;
• eine Reihe von organisatorischen Regeln, Maßnahmen, Werkzeugen und bewährten Verfahren einführen ;
• überwachen, dass die eingeführten Maßnahmen den Grundsatz einhalten, und in der Lage sein, dies im Falle einer Kontrolle durch die CNIL nachweisen zu können.

💡Um seine Rolle optimal zu erfüllen, kann der DSB ein DSGVO-Projektblatt verwenden, um mit den verschiedenen Projektleitern zusammenzuarbeiten. Darin werden die verschiedenen Phasen und Maßnahmen detailliert aufgeführt, um den Charakter des Projekts als Privacy by Design zu gewährleisten.

Weitere Informationen über die Rolle des DSB :

CNIL

Der Unterschied zwischen Privacy by design und Privacy by default

Privacy by default ist eine Folgeerscheinung von Privacy by design. Während letzteres dazu ermutigt, den Schutz personenbezogener Daten von Anfang an zu berücksichtigen, geht Privacy by default einen Schritt weiter, indem es den Grundsatz des maximalen Schutzes der Daten des Nutzers de facto durchsetzt, ohne dass eine Handlung seitens des Nutzers erforderlich ist.

Die 7 Grundsätze von Privacy by Design

Grundsatz 1: Proaktive und präventive Maßnahmen ergreifen.

Eine Verletzung der Privatsphäre sollte durch die Einführung präventiver und nicht korrektiver Maßnahmen verhindert werden. Denn wenn es erst einmal zu einem Missbrauch oder einer Verletzung personenbezogener Daten gekommen ist, ist der Schaden bereits angerichtet. Korrekturmaßnahmen würden dann darauf abzielen, zukünftige Probleme zu verhindern.

Grundsatz 2: Den Schutz durch Vorgabe (Privacy by default) durchsetzen.

Wie bereits erwähnt, ist das Konzept von Privacy by default ein integraler Bestandteil von Privacy by design. Man sollte also einen maximalen Standardschutz vorsehen, d. h. implizit und automatisch, damit der Nutzer nicht selbst aktiv werden muss, um auf der höchsten Stufe geschützt zu sein (Kästchen zum Ankreuzen, Einstellungen usw.). Wenn er mehr Freiheit über seine Daten geben möchte, kann er dies im Nachhinein tun, wenn der Zweck, der die Erhebung gerechtfertigt hat, erfüllt ist oder wenn der von der Erhebung betroffene Nutzer dies beantragt hat.

Grundsatz 3: Sicherstellen, dass die Sammlung und Aufbewahrung den Vorschriften entspricht

Sowohl aus technischer als auch aus organisatorischer Sicht muss alles getan werden, um sicherzustellen, dass die Daten ordnungsgemäß gesammelt werden. Dies gilt auch für die Aufbewahrung der Daten, indem sie gelöscht werden, wenn sie nicht mehr für die zuvor festgelegten Zwecke aufbewahrt werden müssen.

Grundsatz 4: Gewährleistung der Sicherheit während des gesamten Projekts und darüber hinaus

Den Nutzern muss garantiert werden, dass die Datenerhebung auf sichere Weise erfolgt. Diese Garantie muss während der gesamten Durchführung und sogar darüber hinaus gelten, d. h. für die Dauer der gesetzlichen Aufbewahrungsfrist.

Grundsatz 5: Gewährleistung eines optimalen und integrativen Datenschutzes.

Die Maßnahmen, die zum Schutz der Privatsphäre der Nutzer angewandt werden, müssen die Privatsphäre des Nutzers berücksichtigen, ohne den reibungslosen Betrieb des Unternehmens zu gefährden. Die Idee ist nicht, diese Interessen gegeneinander auszuspielen, sondern sie zusammenzuführen, indem Privatsphäre und Datensicherheit in Einklang gebracht werden. Es ist sogar ein Wettbewerbsvorteil, den Nutzern diese Sicherheit zu bieten, und kann für das Vertrauenskapital und das Markenimage eine Rolle spielen.

Grundsatz 6: Transparenz zeigen

Die Praktiken der Datenerhebung und -verarbeitung müssen ebenso wie der Zweck der Datenerhebung transparent dargestellt werden. Daher sollte das Unternehmen seine Datenschutzrichtlinie verfassen und für alle sichtbar machen.

Grundsatz Nr. 7: Die Privatsphäre der Nutzer schützen.

Dieser Begriff, der die Interessen der Nutzer in den Vordergrund und in den Mittelpunkt aller Überlegungen stellt, ist von Natur aus in allen Grundsätzen enthalten. Es liegt in der Verantwortung der Unternehmen, sich die richtigen Systeme und Werkzeuge zuzulegen , um die gesetzlichen Auflagen zu erfüllen. Außerdem müssen auf allen Ebenen des Unternehmens ethische Praktiken angewandt werden, damit jeder nur die notwendigen Informationen sammelt und sorgfältig mit ihnen umgeht.

Wie wendet man Privacy by Design an?

Die Anwendung von Privacy by Design ist für Unternehmen und Organisationen eine anspruchsvolle Herausforderung, die sowohl aus technischer als auch aus organisatorischer Sicht zu bewältigen ist.

Um beispielsweise ein System zur Datenerfassung einrichten zu können, muss man technisch in der Lage sein, die Daten zu überprüfen, zu ändern und im Nachhinein zu löschen.

Sehen wir uns einige konkrete Maßnahmen an, die Ihnen bei der Umsetzung von Privacy by Design helfen können.

Einige konkrete Maßnahmen

Die Pseudonymisierung von Daten.

Diese Technik zur Strukturierung von Daten erschwert die Identifizierung einer Person, sofern keine zusätzlichen Informationen vorliegen. Die Daten werden in einer eigens für diesen Zweck eingerichteten Datenbank nach Zweckmäßigkeit klassifiziert und getrennt.

Die Minimierung der Datenerhebung

Die Anwendung des Prinzips des absoluten Minimums wird technisch durch die "Privacy Enhancing Technologies" ermöglicht, die es den Nutzern ermöglichen, die Kontrolle über ihre Daten zu behalten. So können sie diese minimieren und sogar anonymisieren, wenn sie dies wünschen.

Das Nulloffenlegungs-Beweisprotokoll für Wissen.

Dieses sichere Protokoll ermöglicht einen mathematischen Beweis für die Authentifizierung und Identifizierung eines Nutzers, ohne weitere Informationen preiszugeben.

Die Frameworks für die Arbeit

Sobald eine neue Dienstleistung, ein Produkt, ein Projekt oder eine neue Funktion eingeführt wird, muss sichergestellt werden, dass die Datenschutzmaßnahmen eingehalten werden. Um effizienter zu arbeiten, empfiehlt es sich, dafür vorgesehene Arbeitsframeworks zu verwenden. Ein solches Dokument ist ein guter Ausgangspunkt, um zu überprüfen, ob Sie alle von der DSGVO geforderten Kästchen ankreuzen.

Tools, die Ihnen bei der Umsetzung von Privacy by Design helfen.

Sind Sie sicher, dass Ihr Unternehmen "Privacy by Design" umsetzt? Wenn Sie DSGVO-konforme Tools verwenden und vor allem Ihre Compliance digitalisieren, müssen Sie sich diese Frage nicht mehr stellen und gehen kein Risiko von Sanktionen ein. Sie verwalten Ihre Daten in aller Ruhe und mit viel mehr Geschwindigkeit und Effizienz!

Diese Online-Lösungen für die DSGVO erleichtern es Ihnen, :

• Datenverarbeitungsabbildungen zu erstellen ;
• die Arbeit von DSGVO-Compliance-Audits zu erledigen ;
• die gesamte Compliance-Dokumentation zu zentralisieren und zu verfolgen ;
• CNIL-konforme Folgenabschätzungen von Sicherheitsrisiken durchführen ;
• anpassbare Projektblätter anhand von Vorlagen erstellen, um die Arbeit mit den Projektleitern zu erleichtern ;
• den Fortschritt der Compliance aller Projekte steuern ;
• Daten nach ihrem Zweck kategorisieren ;
• bei Gesetzesänderungen compliant bleiben ;
• Beweise für die Einwilligung aufbewahren usw.

🛠 Unter den renommiertesten Akteuren für DSGVO-Compliance auf dem Markt können Sie sich an :

• Witik: Dies ist eine französische Plattform für die Einhaltung der DSGVO, die KMU & ETI bei der Steuerung ihrer verschiedenen Compliance-Programme (DSGVO, Sapin-II-Gesetz, ePrivacy-Verordnung, ISO...) unterstützt. Um sicherzustellen, dass Ihr Unternehmen und Ihr Projekt den Schutz des Datenschutzes durch Design gewährleistet, bietet Witik Ihnen Zugang zu zahlreichen Funktionen : Schulungen, Audits und anpassbare, von DSBs entworfene Registervorlagen, Einwilligungsmanagement mit nativem A/B-Test, Reporting und Follow-up-Attests und vieles mehr!
• Data Legal Drive,
• Central Consent Manager,
• Compliance Booster,
• Datae.

Alle Datenschutz-Grundverordnung Software ansehen

Von Privacy by design zu Privacy by using?

Die Einbeziehung der Grundsätze des Privacy by Design in alle Projekte, bei denen Daten gesammelt werden müssen, ist die beste Vorgehensweise, um die DSGVO einzuhalten, ohne das Unternehmen negativ zu beeinflussen. Wenn diese Grundsätze beachtet werden, werden Maßnahmen ergriffen, die sich sogar positiv auf das Unternehmen auswirken können.

Privacy by using propagiert die Ermächtigung der Nutzer in Bezug auf ihre persönlichen Daten. Indem ihnen Informationen über den Zweck ihrer Daten und die technischen Hilfsmittel zur Verfügung gestellt werden, mit denen sie den Grad der Vertraulichkeit selbst verwalten können, erlangen sie Autonomie. Dadurch sind sie bereit, den Unternehmen mehr Freiheit bei der Verwendung ihrer Daten zu geben. Mit einer erweiterten Zustimmung können diese einige Hindernisse aus dem Weg räumen, den Spielraum für mehr Innovationen vergrößern und besser auf die Bedürfnisse der Nutzer eingehen.

Wäre eine gemeinsame Verantwortung für Daten der Schlüssel zu einem innovativeren Markt? Was denken Sie?