Themenreihe DSGVO: Datenschutz im Unternehmen (Teil 2)
Der Konzeption von Art. 25 DSGVO liegt der Gedanke zugrunde, dass durch datenschutzfreundliche Technikgestaltung („Privacy by Design“) und durch datenschutzfreundliche Voreinstellungen („Privacy by Default“) dem Datenschutz schon zu einem möglichst frühen Zeitpunkt Rechnung getragen werden soll. Die unrechtmäßige Verarbeitung oder ein Missbrauch von Daten soll damit möglichst schon präventiv verhindert werden. In Art. 25 Abs. 1 DSGVO werden dabei Grundsätze für das Privacy by Design und in Art. 25 Abs. 2 DSGVO die entsprechenden Grundsätze für das Privacy by Default normiert. In erster Linie richtet sich die Norm an die Verantwortlichen i.S.d. Art. 4 Nr. 7 DSGVO und nicht unmittelbar an die Hersteller von Produkten, Diensten und Anwendungen. Mittelbar soll sich aus Art. 25 Abs. 1 DSGVO jedoch auch für Hersteller und Entwickler eine datenschutzrechtliche Vorfeldwirkung ergeben und diese dazu ermutigt werden, datenschutzfreundliche Produkte, Systeme und Dienste anzubieten.
Privacy by Design (Art. 25 Abs. 1 DSGVO)
Privacy by Design wird dabei von der Erkenntnis geleitet, dass sich im digitalen Zeitalter die rechtlichen Vorgaben des Datenschutzrechts dann am besten umsetzen und wahren lassen, wenn sie bereits in den neuen technischen Entwicklungen berücksichtigt und in sie integriert werden. Die Befolgung des Datenschutzes soll zur festen Komponente bei der Entwicklung neuer Technologien und Systeme werden. Im Idealfall führt datenschutzfreundliche Technikgestaltung präventiv dazu, dass datenschutzrechtliche Verstöße verhindert und das Vertrauen der Nutzer in die Technologien und Systeme gestärkt wird. Um einen solchen Datenschutz durch Technik umzusetzen, verpflichtet Art. 25 Abs. 1 DSGVO den Verantwortlichen i.S.d. Art. 7 Nr. 7 DSGVO dazu, geeignete technische und organisatorische Maßnahmen umzusetzen. Bei dieser Umsetzung bietet Art. 25 Abs. 1 DSGVO dem Verantwortlichen sodann eine Abwägungsmöglichkeit. Umstände wie der Stand der Technik, die Implementierungskosten und die Risiken für die Rechte und Freiheiten natürlicher Personen können mit in die Abwägung einbezogen werden. Als eine beispielhafte Maßnahme für Privacy by Design nennt Art. 25 Abs. 1 DSGVO die Pseudonymisierung. Auch wenn Anonymisierung und Maßnahmen zur Datenminimierung nicht ausdrücklich in Art. 25 Abs. 1 DSGVO genannt sind, sind sie als beispielhafte Maßnahmen für Privacy by Design anzuführen.
Privacy by Default (Art. 25 Abs. 2 DSGVO)
Hinter dem Schlagwort Privacy by Default verbirgt sich eine besondere Form des Datenschutzes durch Technik. Durch vom Verantwortlichen vorzunehmende technische Voreinstellungen soll sichergestellt werden, dass grundsätzlich nur die personenbezogenen Daten erhoben und verarbeitet werden, die für den konkreten Zweck auch tatsächlich erforderlich sind. Die technischen Voreinstellungen sollen also an dem Grundsatz der Datenminimierung ausgerichtet werden. Zum einen soll dadurch das ausufernde Datensammeln eingeschränkt werden. Zum anderen soll dadurch aber auch ein Schutz derjenigen Nutzer bewirkt werden, die die Auswirkungen von Verarbeitungsvorgängen mittels moderner Technologie nicht voll erfassen und deswegen auch nur seltener selbst datenschutzfreundliche Voreinstellungen vornehmen. Umsetzungsbeispiele für Privacy by Default können beispielsweise darin bestehen, dass Online-Browser besuchten Webservern automatisch mitteilen, dass die Nutzer nicht getrackt werden möchten oder das in technischen Verarbeitungsprozessen Daten möglichst schnell pseudonymisiert werden. Eine unzulässige Entmündigung der Nutzer ist in datenschutzfreundlichen Voreinstellungen nicht zu sehen. Nutzer, die auf den Schutz ihrer personenbezogenen Daten etwa keinen Wert legen, können die Voreinstellungen jederzeit nach ihren Vorstellungen ändern.
Das Thema der nächsten Woche ist der 3. Teil des Bereichs Datenschutz im Unternehmen