Der in DSGVO Art. 25 verlangte «Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen» wird als neue und anspruchsvolle Anforderung verstanden. Im Kontext komplexer Systeme ist der Aufwand hierfür tatsächlich ernst zu nehmen, aber die zugrundeliegenden Prinzipien alles andere als neu.
Ann Cavoukian (Information & Privacy Commissioner; Ontario, Canada) entwickelte und publizierte bereits in den 90er Jahren ein anerkanntes Set von Privacy-Prinzipien, welches neben den „Privacy as the Default Setting“ und „Privacy Embedded into Design“ auch die zugrundliegende Geisteshaltung „Respect for User Privacy“ formuliert.
Die Themen «Privacy by Design» und «Privacy by Default» werden wegen oft gemeinsam genannt, wohl auch wegen ihrer sprachlichen Ähnlichkeit. Trotz natürlicher Berührungspunkte sind sie aber bei der rechtlichen Würdigung und in der Projektabwicklung dediziert zu adressieren, da unterschiedliche Anspruchsgruppen involviert sind.
Privacy by Design
…bedeutet, dass die relevanten Datenschutzanforderungen bereits bei der Konzeption von informationsverarbeitenden Systemen (Software und Hardware) beachtet werden muss. Hier besteht eine starke Analogie zur Informationssicherheit oder dem Hausbau: Anforderungen, die nachträglich einfliessen sind meist teuer, oder sogar unmöglich umzusetzen.
Good News: Umdenken muss nur, wer in Projekten bisher den Datenschutzbeauftragten nicht schon frühzeitig adressiert hat. Alle anderen werden in ihrem Vorgehen sogar noch bestärkt: Die relevanten Datenschutz-Sachverhalte am Beginn adressieren, würdigen und die notwendigen technischen und organisatorischen Massnahmen definieren. Ein geeignetes Mittel dafür ist die Erstellung oder Aktualisierung des Datenschutzkonzepts für die betroffenen Datenbearbeitungen.
Privacy by Default
…bedeutet, dass eine Person davon ausgehen kann, dass Ihre Datenschutzrechte bei der Nutzung eines Systems eingehalten werden, ohne diese Rechte aktiv einfordern zu müssen. Ein triviales Beispiel ist die Checkbox für den Newsletter beim Online-Einkauf: Diese muss neu «by Default» leer sein, und es braucht ein aktives «Opt-in» der betroffenen Person, bevor ihr solche Emails geschickt werden dürfen.
Eine weitere Aufprägung ist die Anforderung an Datenminimierung, welche neben der Technik auch organisatorische und wirtschaftliche Interessen tangiert. Nehmen wir als Beispiel die Tracking-Informationen von Webseiten. Einerseits muss das System individuelle Privacy-Einstellungen anbieten und damit umgehen können (technische Herausforderung). Andererseits steht die geforderte Datenminimierung im direkten Widerspruch zu den Erwartungen interner Anspruchsgruppen, z.B. dem Marketing (fachliche Herausforderung).
Es ist kein Geheimnis, dass es kaum Projekte ohne Zielkonflikte gibt. Daher gilt auch hier: Wer clever ist, identifiziert seine Anspruchsgruppen frühzeitig und sensibilisiert sie auf das Thema Datenschutz. Think outside the box: Wie wäre es z.B., aus dem vermeintlichen Hindernis ein Differenzierungsmerkmal zu machen? Spannen Sie mit Ihrem Datenschutzbeauftragten zusammen und moderieren Sie aktiv das Finden von kreativen und nachhaltigen Lösungen, die sowohl dem Datenschutz als auch den Geschäftsinteressen gerecht werden.
Also Umdenken oder nicht?
«Privacy by Design» und «Privacy by Default» zwingen uns bei der Projektabwicklung zu einem Umdenken, aber nur in Bezug auf die Priorisierung. Treiber dafür ist die veränderte Risikosituation, welche durch den Umfang der möglichen Sanktionierung und weiteren Kollateralschäden (z.B. Reputation) neu bewertet werden muss.
Das Thema Datenschutz muss nun zwingend frühzeitig und ganz dediziert angegangen werden. Die daraus resultierenden technischen und organisatorischen Massnahmen können in der regulären Projektausführung abgearbeitet werden. Dabei ist es unerheblich, ob dafür eine agile oder andere Methode zum Einsatz kommt.
Datenschutz in Projekten ist mit der richtigen Unterstützung durch Ihren Datenschutzbeauftragten kein Hexenwerk. Just do it (together)!