Privacy by Design wird im Februar ISO-Standard

24. Januar 2023

Es gibt Neuigkeiten! Vierzehn Jahre nach der Einführung durch den kanadischen Datenschutzbeauftragten ist „Privacy by Design“ (PbD) im Begriff, ein internationaler Datenschutzstandard für den Schutz von Verbraucherprodukten und -dienstleistungen zu werden.

Doch was versteht man unter PbD? Hinter dem Begriff „Privacy by design“ verbirgt sich nichts Anderes als „Datenschutz durch Technikgestaltung“. Dahinter steckt der Gedanke, dass der Datenschutz bei Datenverarbeitungsvorgängen am besten eingehalten wird, wenn er bei deren Erarbeitung bereits technisch integriert ist. Das Konzept wurde 2009 vorgestellt und besteht aus einer Reihe von Grundsätzen, die die Berücksichtigung des Datenschutzes im gesamten Datenmanagementprozess einer Organisation fordern. Seitdem wurden sie von der Internationalen Versammlung der Datenschutzbeauftragten und -behörden angenommen und in die europäische Datenschutzgrundverordnung (DSGVO) aufgenommen.

Wer ist die ISO?

Die ISO ist ein Netzwerk von 167 nationalen Normungsgremien. Sie legt über 24.000 Normen fest, darunter die ISO 27001 für Informationssicherheits-Managementsysteme, deren Einhaltung Organisationen nach einer Prüfung durch Wirtschaftsprüfungsunternehmen wie Deloitte, KPMG und PwC zertifiziert werden kann.

Die Verabschiedung durch die ISO gibt der Operationalisierung des Konzepts „Privacy by Design Leben“, so Ann Cavoukian, die PbD-Erfinderin, „und hilft Organisationen, herauszufinden, wie sie es umsetzen können. Der Standard ist so konzipiert, dass er von einer ganzen Reihe von Unternehmen genutzt werden kann – von Start-ups über multinationale Unternehmen bis hin zu Organisationen jeder Größe. Bei jedem Produkt kann dieser Standard eingesetzt werden, weil er einfach zu übernehmen ist. Wir hoffen, dass der Datenschutz proaktiv in die Gestaltung der Abläufe [einer Organisation] eingebettet wird und die Datenschutzgesetze ergänzt.“

Was kommt auf uns zu?

In seiner ursprünglichen Fassung umfasst PbD sieben Grundsätze, darunter die, dass der Datenschutz die Standardeinstellung einer Organisation sein sollte, dass er in die Gestaltung von IT-Systemen und Geschäftspraktiken eingebettet ist und dass er Teil des gesamten Datenlebenszyklus ist.

Die endgültige ISO-Norm 31700 ist detaillierter und enthält 30 Anforderungen verteilt auf 32 Seiten. Sie enthält allgemeine Anleitungen zur Entwicklung von Funktionen, die es den Verbrauchern ermöglichen, ihre Datenschutzrechte durchzusetzen, zur Zuweisung relevanter Rollen und Befugnisse, zur Bereitstellung von Datenschutzinformationen für Verbraucher, zur Durchführung von Datenschutzrisikobewertungen, zur Festlegung und Dokumentation von Anforderungen an Datenschutzkontrollen, zur Gestaltung von Datenschutzkontrollen, zum Datenmanagement über den gesamten Lebenszyklus und zur Vorbereitung auf und zum Umgang mit Datenschutzverletzungen.

In der vorgeschlagenen Einleitung wird darauf hingewiesen, dass sich PbD auf verschiedene Methoden für die Entwicklung von Produkten, Prozessen, Systemen, Software und Dienstleistungen bezieht. Die vorgeschlagene Bibliographie, die dem Dokument beiliegt, verweist auf andere Normen mit detaillierteren Anforderungen an die Identifizierung personenbezogener Daten, Zugangskontrollen, die Zustimmung der Verbraucher, Corporate Governance und andere Themen.

Zusammen mit der Norm wird ein separates Dokument mögliche Anwendungsfälle skizzieren.

Ausblick

Cavoukian wiederholte das Argument, das sie schon seit Jahren vorbringt: Datenschutz kann ein Wettbewerbsvorteil für Unternehmen sein, die ihn annehmen. „Wir müssen uns von dem veralteten Entweder-Oder-Modell von Datenschutz und Geschäft verabschieden“, so ihr Standpunkt. „Das kann eine Win-Win-Situation sein. Es geht um Datenschutz und Geschäftsinteressen. You can do both.“

ISO 31700 wird allerdings zunächst kein Konformitätsstandard sein.