Privacy by default und Privacy by design - Was ändert sich durch die Datenschutzgrundverordnung?

Ab dem 25. Mai 2018 wird die Datenschutzgrundverordnung (DSGVO) unmittelbare Gesetzesgrundlage  für die Verarbeitung personenbezogener Daten in Europa.

Dabei gibt es für jeden Hersteller von Lösungen und Produkten, die personenbezogene Daten verarbeiten wesentliche Neuerungen, deren Nichtbeachtung zur Mangelhaftigkeit des Produkts und entsprechenden vertraglichen Ansprüchen der Kunden führen können.

Die DSGVO schreibt in Artikel 25 vor, dass  der Schutz des Persönlichkeitsrechts der Menschen bereits in den Standardeinstellungen eines Produktes / einer Software voreingestellt sein muss (Privacy by Default). Alle Produkte, die auf den Markt kommen müssen also bei Auslieferungszustand bereits DSGVO-konform konfiguriert sein.

Darüber hinaus müssen die Produkte auch so konzipiert sein, dass die damit verbundenen Datenverarbeitungsprozesse, auch wenn die Betroffenen die Produkte mit den vorhandenen Bedienoptionen abweichend einstellen, datenschutzkonform  sind (Privacy by Design).

Ziel von Privacy by Default und Privacy by Design ist es, die Privatsphäre der von dem jeweiligen Datenverarbeitungsprozess betroffenen Menschen durch technische und organisatorische Maßnahmen zu gewährleisten sowie mögliche Datenschutzprobleme frühestmöglich zu entdecken und Schäden zu verhindern.

Mit Privacy by Default soll also ein Grundschutz erreicht werden und mit Privacy by Design ein erweiterter Schutz, den der Nutzer selbst innerhalb der datenschutzrechtlichen Vorgaben individuell anpassen kann.

Vereinfacht gesagt soll das Datenschutzniveau auf ein höheres und einheitliches Level gehoben werden und alle Unternehmen sollen sich zukünftig an Europäische Datenschutzstandards halten, wenn sie ihre Lösungen in Europa vermarkten wollen. Die zur Zeit vorhandene Wettbewerbsverzerrung, wonach derjenige, der sich datenschutzkonform verhält, nur darauf hoffen kann, dass die potentiellen Kunden, dies honorieren, soll beendet werden. Neben den verschärften Bußgeldandrohungen soll aufgrund der drohenden Mangelhaftigkeit einer nicht DSGVO-konformen Lösung / Produktes der Markt regulierend wirken.

Was bedeutet das konkret?

Eine fehlende, datenschutzrechtlich aber notwendige Funktion in einer Software bzw. in einem Produkt, z. B. die fehlende Möglichkeit zur Löschung von personenbezogenen Daten wäre als Rechtsmangel einzuordnen. Ebenso die Einbindung eines chinesischen Cloud-Services oder eines US-Cloud-Services ohne Einbindung des EU/US-Privacy-Shields. Beim Vorliegen eines Rechtsmangels kann beispielsweise der Kunde seine gesetzlichen Gewährleistungsrechte, bis hin zum Schadensersatz, geltend machen.

Softwarehersteller sollten auch in agilen Projekten alle Funktionen einer Lösung / eines Produktes mit den Vorgaben der DSGVO abstimmen. In professionellen Produkteentwicklungsprozessen wird eine datenschutzrechtliche begleitende Beratung obligatorisch werden, um ein Scheitern des Projekts aus rechtlichen Gründen und alle damit verbundenen finanziellen und Image-Nachteile zu vermeiden.

Die Dokumentation eines Produktes (z. B. die Erstellung eines Löschkonzeptes) wird ebenfalls obligatorisch werden. Diese Dokumentationen sind für Nutzer und Entwickler wichtiger Bestandteil ihrer gesetzlichen Nachweispflicht der technischen und organisatorischen Maßnahmen, die sie zur Absicherung ihrer Produkte ergriffen haben.

Hersteller sollten folgende Grundsätze schon bei der Produktentwicklung berücksichtigen: 

• Minimierung der Verarbeitung personenbezogener Daten;
• Vermeidung der Einbindung von Cloud-Services mit Datenverarbeitungsprozessen außerhalb der EU;
• so schnell wie möglich Pseudonymisierung personenbezogener Daten;
• Einsatz zeitgemäßer sicherer Verschlüsselungstechnologien;
• Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten;
• betroffenen Personen sollte man es ermöglichen, die Verarbeitung personenbezogener Daten zu überwachen / nachzuvollziehen;
• Verantwortliche Stellen sollten in die Lage versetzt werden, Sicherheitsfunktionen zu nutzen und ihren Datenschutzpflichten nachzukommen, soweit dies unter gebührender Berücksichtigung des Stands der Technik möglich ist.

Nur wenn sich Unternehmen diesen Herausforderungen stellen, werden ihre Produkte nach Mai 2018 gute Chancen am Markt haben.

Bildquelle: mein auto mein boot mein schloss carlitos - photocase com