Ir al contenido

Wirtschaftsglossar

Datenschutz durch Technikgestaltung (Privacy by Design)

Ein DSGVO-Grundsatz (Artikel 25), der verlangt, dass der Datenschutz von Anfang an in die Gestaltung von Produkten, Dienstleistungen, Systemen und Prozessen integriert wird und nicht nachträglich ergänzt wird. Er umfasst auch datenschutzfreundliche Voreinstellungen (Privacy by Default), die verlangen, dass die datenschutzfreundlichsten Einstellungen ohne Benutzereingriff gelten.

Digital

Was ist Datenschutz durch Technikgestaltung

Privacy by Design (PbD) ist ein Rahmen, der von Dr. Ann Cavoukian in den 1990er Jahren entwickelt und als rechtliche Pflicht gemäß Artikel 25 der DSGVO kodifiziert wurde. Er verlangt von Verantwortlichen die Umsetzung angemessener technischer und organisatorischer Maßnahmen – wie Datensparsamkeit und Pseudonymisierung – sowohl bei der Festlegung der Mittel zur Verarbeitung als auch bei der Verarbeitung selbst.

Die sieben Grundprinzipien

  1. Proaktiv statt reaktiv: Datenschutzrisiken antizipieren und verhindern, bevor sie auftreten
  2. Datenschutz als Standardeinstellung: Ohne Benutzeraktion muss die datenschutzfreundlichste Konfiguration gelten
  3. In die Gestaltung eingebettet: Datenschutz ist ein integraler Bestandteil der Systemarchitektur, kein Zusatz
  4. Volle Funktionalität (Positiv-Summe): Datenschutz und Geschäftsziele sind kein Nullsummenspiel
  5. Ende-zu-Ende-Sicherheit: Datenschutz über den gesamten Datenlebenszyklus
  6. Transparenz und Sichtbarkeit: Prozesse müssen überprüfbar und prüfbar sein
  7. Respekt für die Privatsphäre der Nutzer: Nutzerinteressen haben Vorrang

Rechtliche Pflichten gemäß Artikel 25

Artikel 25 DSGVO schafft eine bindende Verpflichtung für Verantwortliche, Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen anzuwenden. Dies umfasst die Umsetzung von Maßnahmen, die der Art, dem Umfang, dem Kontext und den Zwecken der Verarbeitung sowie den Risiken für Personen angemessen sind. Aufsichtsbehörden haben damit begonnen, dies durchzusetzen.

Praktische Umsetzung

Für Entwicklungsteams bedeutet PbD die Durchführung von DSFAs vor dem Launch neuer Funktionen, Anwendung von Datensparsamkeit in Formularen und Datenbanken, Implementierung automatischer Aufbewahrungsfristen, Nutzung von Pseudonymisierung und Verschlüsselung sowie Dokumentation datenschutzrelevanter Designentscheidungen. In agilen Umgebungen sollten Datenschutzprüfungen in jeden Sprint-Zyklus integriert werden.

Häufig gestellte Fragen

Ist Privacy by Design eine rechtliche Pflicht in Spanien?
Ja. Artikel 25 der DSGVO schafft eine bindende Verpflichtung für Verantwortliche, Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen umzusetzen. Spaniens LOPD-GDD verstärkt diese Anforderung. Die AEPD ist befugt, Unternehmen zu bestrafen, die Produkte oder Dienstleistungen ohne angemessene Datenschutzmaßnahmen seit der Entwicklungsphase einführen.
Was bedeutet datenschutzfreundliche Voreinstellung (Privacy by Default) in der Praxis?
Datenschutzfreundliche Voreinstellung bedeutet, dass ohne Benutzeraktion automatisch die datenschutzfreundlichsten Einstellungen gelten müssen. Zum Beispiel sollte ein neues Social-Network-Konto standardmäßig auf privat eingestellt sein, nicht auf öffentlich. Es sollten nur die für den angegebenen Zweck unbedingt erforderlichen Daten verarbeitet werden, ohne dass Benutzer zusätzliche Schritte unternehmen müssen.
Wann erfordert Privacy by Design eine Datenschutz-Folgenabschätzung (DSFA)?
Eine DSFA ist nach Artikel 35 DSGVO erforderlich, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen zur Folge hat – etwa bei umfangreicher Profilerstellung, Verarbeitung sensibler Daten oder systematischer Überwachung. Für neue Produkte oder Dienstleistungen mit solcher Verarbeitung muss die DSFA vor Beginn der Verarbeitung als Teil des Privacy by Design Prozesses durchgeführt werden.
Wie gilt Privacy by Design in der agilen Softwareentwicklung?
In agilen Umgebungen sollten Datenschutzprüfungen in jeden Sprint oder Entwicklungszyklus integriert werden, anstatt als abschließende Überprüfung vor dem Launch behandelt zu werden. Dies bedeutet die Durchführung von DSFAs für neue Funktionen, Anwendung von Datensparsamkeitsprinzipien beim Datenbankdesign, Implementierung von Aufbewahrungsfristen von Beginn an und Dokumentation datenschutzrelevanter Architekturentscheidungen.

Verwandte Leistung

Legal

Entdecken Sie unsere Leistungen in diesem Bereich

Verwandte Branchen

Technologie & Startups Landwirtschaft, Landwirtschaftsbetriebe & Fischerei

Verwandte Begriffe

DSGVO in Spanien (LOPD-GDD) Datenschutz-Folgenabschätzung (DSFA/DPIA) Datenschutzbeauftragter (DSB/DPO)

Verwandte Artikel

Jan. 2024

Jahresbericht Recht 2023: Hinweisgebergesetz, Wohnraumgesetz und Reife der Corporate Compliance

Zurück zum Glossar

Fordern Sie eine persönliche Beratung an

Unsere Experten analysieren Ihre Situation und bieten maßgeschneiderte Lösungen.

Kostenlose Erstberatung
Anrufen Kontakt