DSGVO Privacy by Design

„Privacy by design“ und „Privacy by default“ gehören schon seit einiger Zeit zu den am häufigsten diskutierten Themen, wenn es um Datenschutz geht. Erstmals kam der Gedanke zu „privacy by design“ in den 1970er Jahren auf und fand sich in den 1990er Jahren dann auch in der Datenschutzrichtlinie RL 95/46/EG wieder. Laut Erwägungsgrund 46 dieser Richtlinie müssen bereits zum Zeitpunkt der Planung eines Verarbeitungssystems technische und organisatorische Maßnahmen (TOMs) getroffen werden, um insbesondere die Sicherheit der Daten zu gewährleisten.

Hinter dem Begriff „Privacy by design“ verbirgt sich nichts Weiteres als „Datenschutz durch Technikgestaltung“. Dahinter steckt der Gedanke, dass der Datenschutz bei Datenverarbeitungsvorgängen am besten eingehalten wird, wenn er bei deren Erarbeitung bereits technisch integriert ist. Dennoch herrscht bis heute Ungewissheit was unter „Privacy by design“ eigentlich zu verstehen ist und wie man „Privacy by design“ umsetzt. Das liegt zum einen an der unvollständigen Umsetzung der Richtlinie in manchen Mitgliedsstaaten und zum anderen daran, dass das in der Datenschutz-Grundverordnung normierte Prinzip „Privacy by design“ weiter geht, als der bisherige Ansatz in der Datenschutzrichtlinie. Denn nun hat der Verantwortliche bereits zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung TOMs zu treffen, um den Grundsätzen und Anforderungen des „Privacy by design“ zu genügen. Welche Schutzmaßnahmen das genau sind, lässt der Gesetzgeber weitestgehend offen. Als Beispiel nennt man lediglich die Pseudonymisierung. Auch in dem Erwägungsgrund 78 der Verordnung findet sich keine weitere Konkretisierung. Zumindest dürften aber die an anderer Stelle im Gesetz genannte Verschlüsselung sowie die Anonymisierung der Daten zu den möglichen Schutzvorkehrungen zählen. Des Weiteren kommen auch die Nutzerauthentifizierung und die technische Umsetzung des Widerspruchsrechts in Betracht. Zudem kann bei der Auswahl von Vorkehrungen auch auf solche aus anderen Standards zurückgegriffen werden, etwa aus den der ISO-Normen. Im Einzelfall ist bei der Auswahl darauf zu achten, dass der Stand der Technik sowie die Implementierungskosten angemessen miteinbezogen werden.

Neben den genannten Kriterien müssen außerdem die Art, der Umfang, die Umstände und der Zweck der Verarbeitung beachtet werden. Dem gegenüber stehen die unterschiedlichen Eintrittswahrscheinlichkeiten und die Schwere der mit der Verarbeitung verbundenen Risiken. Der Gesetzeswortlaut lässt darauf schließen, dass oftmals mehrere Schutzmaßnahmen nebeneinander zu ergreifen sind, um den gesetzlichen Anforderungen gerecht zu werden. In der Praxis wird daher eine Abwägung schon im frühen Entwicklungsstadium bei der Technikgestaltung durchzuführen sein. Eine anerkannte Zertifizierung kann der Aufsichtsbehörde gegenüber als Indikator dienen, dass der Verantwortliche die gesetzlichen Anforderungen des „Privacy by design“ einhält.