Privacy by Design: So machst du dein IT-System datenschutzkonform

Wer IT-Projekte von Anfang an serös plant, hat später weniger Ärger. Das gilt auch für den Datenschutz. Hier erfährst du, wie du anhand der sieben Grundsätze von „Privacy by Design“ ein datenschutzkonformes IT-System erstellst.

IT-Projekte werden unter grossem Zeitdruck und einem begrenzten Budget durchgeführt. Sobald du ein Projekt abschliesst, beginnt das nächste. Hauptsache das Business hat schnell ein Resultat. Abstriche bei der Qualität werden in Kauf genommen.

„Nicht so schlimm“, hören wir Datenschützer regelmässig: „Kleinere Fehler bessern wir im laufenden Betrieb aus“. Da steckt ein Körnchen Wahrheit drin, sofern du die Probleme tatsächlich nachträglich behebst. Was ebenfalls stimmt ist, dass sich so schwer korrigierbare Designfehler einschleichen, die langfristig teuer zu stehen kommen. Das gilt auch für den Datenschutz, der ein Nischendasein fristet.

Die Digitalisierung schreitet voran. Gleichzeitig werden die Datenschutzgesetze verschärft. Das Risiko, dass dein Unternehmen mit dem Gesetz in Konflikt kommt oder Reputationsschaden erleidet, steigt. Darum lohnt es sich, wenn du dir so früh wie möglich Gedanken zum Datenschutz machst.

Privacy by Design“ bedeutet, dass du den Schutz der Privatsphäre von Anfang an in deine Applikationen und Prozesse integrierst. Die kanadische Datenschützerin Ann Cavoukian entwickelte das Konzept 1995. In sieben Grundsätzen erklärt sie, wie du dein IT-System datenschutzkonform gestaltest.

In diesem Video erklärt Ann Cavoukian, wie dein Unternehmen vom Datenschutz profitiert.

1. Proaktiv nicht reaktiv, vorbeugend statt Abhilfe

Gehe den Datenschutz proaktiv und nicht reaktiv an. Versuche Datenschutzverletzungen, die durch dein IT-System entstehen, vorherzusehen und treffe Gegenmassnahmen.

2. Datenschutz als Standard

Erstelle dein IT-System so, dass das Höchstmass an Privatsphäre die Standardeinstellung ist. Die Anwenderinnen und Anwender müssen für den Schutz ihrer Personendaten nichts unternehmen.

3. In Design eingebetteter Datenschutz

Bette den Datenschutz ganzheitlich in die Gestaltung des IT-Systems und die Business-Prozesse ein. Er ist ein integraler Bestandteil des Ganzen und kein Zusatz.

4. Volle Funktionalität

Setze den Datenschutz so um, dass dein IT-System alle Ansprüche berücksichtigt. Berechtigte Ziele und Interessen werden nicht durch den Datenschutz behindert.

5. End-to-End-Lebenszyklusschutz

Bedenke den Lebenszyklus der Daten. Von Anfang bis Ende sind Massnahmen für den Datenschutz notwendig. Gehe sparsam mit Daten um und vernichte sie rechtzeitig.

6. Sichtbarkeit und Transparenz

Übernimm Verantwortung für dein IT-System und gib offen Auskunft darüber, welche Massnahmen du zum Schutz von Personendaten triffst. Arbeite mit Partnern zusammen, die ebenfalls Privacy by Design leben.

7. Respekt für die Privatsphäre der Benutzerinnen und Benutzer

Stelle die betroffenen Personen in den Mittelpunkt! Die Personendaten gehören ihnen und sie bestimmen, was mit ihren Daten geschieht.

Beherzige die sieben Grundsätze in all deinen IT-Projekten so gut du kannst. Du musst nicht sofort alle Ansprüche erfüllen. Wenige Anpassungen reduzieren bereits das Risiko von Datenschutzverletzungen spürbar (Paretoprinzip). Je früher du damit anfängst, desto früher profitieren alle davon.

„DIE BESTE ZEIT, EINEN BAUM ZU PFLANZEN, WAR VOR 20 JAHREN. DIE ZWEITBESTE ZEIT IST JETZT.“

(Chinesisches Sprichwort)

Beitrag teilen

Ruben Antenen

Ruben Antenen ist Datenschutzbeauftragter der Hochschule Luzern und bloggt aus dem Unterricht des CAS Data Privacy Officer. Das vermittelte Wissen und die Methoden kann er täglich in seinem Arbeitsalltag anwenden. Gemeinsam mit seinen Kolleginnen und Kollegen stellt er so die Qualität des Datenschutzes in der HSLU sicher.

Alle Beiträge ansehen von Ruben Antenen →

Schreibe einen Kommentar