Datenschutz – lästige Pflicht oder wichtiges Gut? In Zeiten von Big Data und allgegenwärtiger Online-Aktivität rückt dieses Thema immer mehr in den Vordergrund.
Früher war es vor allem Aufgabe des Nutzers, seine Daten zu schützen. Doch seit der Einführung der DSGVO (Datenschutz-Grundverordnung) sind Unternehmen deutlich stärker in die Pflicht genommen
Ein simpler Klick auf "Ich stimme zu" reicht schon lange nicht mehr aus. Unternehmen müssen den Datenschutz jetzt aktiv gestalten. Privacy by Design und Privacy by Default sind die Zauberworte. Was das bedeutet, erfahren Sie im Folgenden.
In diesem Beitrag
- Privacy by Design vs. Privacy by Default: Wo ist der Unterschied?
- Wie profitieren Nutzer von Privacy by Design und Privacy by Default?
- Welche Anforderungen sind mit den beiden Prinzipien verbunden?
- Anwendungsfall aus der Praxis: Cookies und Cookie-Banner
- Können Privacy by Design und Privacy by Default umgangen werden?
- Woher weiß ich, ob ein Unternehmen die Privacy-Prinzipien einhält?
- Privacy by Design für den Datenschutz
Das Wichtigste in Kürze
- Nutzer genießen durch die Privacy-Prinzipien mehr Schutz.
- Privacy by Design setzt voraus, dass schon bei der Entwicklung neuer Software das Thema Datenschutz umgesetzt wird.
- Privacy by Default bezieht sich auf die Voreinstellungen von Hard- und Software, die im Sinne des Datenschutzes getroffen werden müssen.
- Datenschutzerklärungen müssen jetzt so verfasst werden, dass alle Nutzer sie verstehen.
- Auch für Cookies und Cookie-Banner spielen die Privacy-Prinzipien eine große Rolle.
Privacy by Design vs. Privacy by Default: Wo ist der Unterschied?
Die Grundlagen von Privacy by Design und Privacy by Default bilden wesentliche Komponenten der Datenschutz-Grundverordnung (DSGVO), wo sie in Artikel 25 ausdrücklich festgeschrieben sind. Dabei ist festzuhalten, dass Privacy by Design und Privacy by Default zwei Seiten derselben Medaille sind und nicht etwa Gegensätze.
Das DSGVO-Konzept Privacy by Design oder auch „Datenschutz durch Technikgestaltung“ bedeutet, dass eine Softwarelösung (z. B. eine Website, eine Datenbank oder ein beliebiges Tool) mit der Intention entwickelt wird, die für ihren Betrieb benötigten Daten bestmöglich zu schützen. Das Thema Datenschutz wird also schon bei der Konzeption der Lösung mitbedacht.
Bei Privacy by Default greift der Datenschutz hingegen bei den Voreinstellungen von Diensten, Systemen oder Geräten. „Datenschutz durch datenschutzrechtliche Voreinstellungen“ lautet das Konzept. War es für Unternehmen und Behörden früher leicht möglich, durch entsprechende Voreinstellungen an personenbezogene Daten zu gelangen, haben nun die datenschutzfreundlichen Einstellungen Vorrang.
Wie profitieren Nutzer von Privacy by Design und Privacy by Default?
Durch die DSGVO und ihre beiden Prinzipien Privacy by Design und Privacy by Default wird der Datenschutz bei Soft- und Hardware zum Standard. Für den Nutzer bedeutet das: Er hat die Kontrolle über seine Daten und entscheidet selbst, ob und welche Informationen er über sich preisgibt.
Welche Anforderungen sind mit den beiden Prinzipien verbunden?
Aus dem Prinzip Privacy by Design ergeben sich vereinfacht folgende Anforderungen:
- Schon bei der Entwicklung bzw. Konzeption einer Software muss ein Unternehmen darauf achten, dass nur die absolut erforderlichen personenbezogenen Daten der späteren Nutzer erfasst werden. Wer z. B. ein Bewerbungstool entwickelt, sollte nur die für eine Bewerbung erforderlichen Daten wie Lebenslauf und Zeugnisse erfassen, aber nicht bereits die Steuer-ID oder Sozialversicherungsnummer, da diese erst bei einer Einstellung relevant werden. Absolut tabu sind besondere Kategorien wie Gewerkschaftszugehörigkeit oder politische Aktivitäten, da diese ohnehin nur mit wirksamer Einwilligung und grundsätzlich in keiner Phase des Beschäftigungsverhältnisses verarbeitet werden dürfen.
- Wo möglich, sollten Daten pseudonymisiert oder anonymisiert erfasst werden – also ohne direkten Rückschluss auf einen konkreten Nutzer.
- Ebenso sollte ein Unternehmen von Beginn an sicherstellen, dass die Erfassung, Verarbeitung und Speicherung von personenbezogenen Daten später regelmäßig überwacht wird.
- Nicht zuletzt muss auch für die Möglichkeit der Löschung von nicht mehr benötigten Daten Sorge getragen werden.
Das Prinzip Privacy by Default bedeutet für Unternehmen vor allem:
- Das sogenannte Opt-out, bei dem Nutzer explizit der Verwendung ihrer Daten zum Beispiel für Werbezwecke widersprechen müssen, genügt nicht.
- Stattdessen gilt die Vorgabe des Opt-in, das heißt, dass eine ausdrückliche Einwilligung der Nutzer in die Weiterverarbeitung ihrer Daten erforderlich ist. Für den Versand von Newslettern gilt sogar das sog. Double-Opt-in, d. h. die E-Mail-Adresse muss nicht nur aktiv eingetragen, sondern auch explizit von dem bezeichneten Account bestätigt werden.
Cookies ade? Privacy by Design und Default am Beispiel Cookie-Banner
Am Beispiel von Cookies lassen sich die beiden Prinzipien gut nachvollziehen. Hier gilt es zunächst grundsätzlich zwischen technisch notwendigen und nicht notwendigen Cookies zu unterscheiden:
- Technisch notwendig sind grundsätzlich Cookies, die für die Darstellung der Website auf dem Browser des Nutzers erforderlich sind, aber z. B. auch solche, die beispielsweise zur Befüllung des Warenkorbs in einem Onlineshop benötigt werden. Für die Nutzung dieser Cookies braucht es keine aktive Einwilligung des Nutzers. In der Datenschutzerklärung muss aber in jedem Fall ein entsprechender Hinweis auf diese Cookies erfolgen.
- Nicht notwendig sind hingegen in der Regel Cookies, mit deren Hilfe ein Onlineshop erfasst, von welcher Website aus ein Nutzer den Shop betreten hat und wohin er anschließend surft. Solche Cookies bedürfen einer expliziten Einwilligung des Nutzers.
Für Unternehmen, die nach den Maßgaben von Privacy by Design und Privacy by Default handeln, bedeutet das ganz konkret:
- Sie müssen sich genau überlegen, welche Cookies für sie technisch notwendig sind und damit ohne gesonderte Einwilligung der Nutzer auskommen. Soweit möglich, sollen sie sich auf diese beschränken.
- Sie müssen also entscheiden,
- ob sie im Sinne der Datenminimierung auf nicht notwendige Cookies gänzlich verzichten (= Privacy by Design), mindestens aber
- die explizite Einwilligung der Nutzer zur Verwendung dieser Cookies einholen (= Privacy by Default).
Wichtig: Ein vom Websitebetreiber vorausgefülltes Cookie-Banner reicht hierbei nicht. Ein bereits gesetztes Häkchen kommt keiner Einwilligung des Nutzers gleich. Das hat der Europäische Gerichtshof (EuGH) in einem Urteil vom Oktober 2019 entschieden, welches nun auch der Bundesgerichtshof (BGH) bestätigt hat.
Können Privacy by Design und Privacy by Default umgangen werden?
Grundsätzlich ist die DSGVO bindend. Missachtet ein Unternehmen die in Artikel 25 formulierten Prinzipien Privacy by Design und Privacy by Default, drohen hohe Geldbußen. Dem stehen potenziell hohe Geldsummen gegenüber, die Website-Betreiber mit Nutzerdaten verdienen können. Ein vermeintlich einfacher Ausweg besteht darin, bestimmte Leistungen von der Einwilligung des Nutzers in eine Datenverarbeitung abhängig zu machen. Doch dieser Ausweg ist eben nur „vermeintlich einfach“.
Derartigen Geschäften schiebt die DSGVO durch das sogenannte Kopplungsverbot nämlich einen Riegel vor. Dieses besagt, dass die Einwilligung des Nutzers „freiwillig“ zu erfolgen habe. Doch kann nicht auch ein Geschäft Leistung gegen Daten freiwillig erfolgen und legitim sein? Hier wird es spannend sein zu beobachten, welchen Rahmen der Gesetzgeber für dieses Geschäftsmodell zukünftig vorgibt.
Woher weiß ich, ob ein Unternehmen die Privacy-Prinzipien einhält?
Generell wird eine Website oder ein Programm als vertrauenswürdig eingeschätzt, wenn man sich nach der Durchsicht der Datenschutzerklärung gut informiert fühlt, wenn man verstanden hat, warum bestimmte Daten erhoben werden und an welche Dienste diese womöglich abfließen (z. B. an bestimmte Social-Media-Kanäle). Ist die Erklärung ellenlang, zu umständlich oder recht unverständlich, ist eher Vorsicht geboten.
Im Zuge der DSGVO mussten Unternehmen nicht nur neue Maßnahmen zur Wahrung der Privacy-Prinzipien ergreifen, sondern auch ihre Datenschutzerklärungen so formulieren, dass sie für jeden verständlich sind – auch ohne der Rechtssprache mächtig zu sein. Wer es als Anbieter schafft, diese wichtigen Informationen gebündelt und verständlich für Nutzer darzustellen, der hat sich mit ziemlicher Sicherheit um das Thema Datenschutz hinreichend Gedanken gemacht – und das deutet auf eine gewisse Vertrauenswürdigkeit hin.
Gleichwohl: Eine absolute Garantie, dass die Prinzipien Privacy by Design und Privacy by Default ausreichend umgesetzt sind, erhält man als User nur schwer.
Privacy by Design für den Datenschutz
Die DSGVO verpflichtet Unternehmen dazu, den Schutz der Nutzerdaten zu wahren. Damit die Preisgabe von Informationen tatsächlich aus freien Stücken und nicht etwa wegen mangelnder Transparenz geschieht, muss nicht nur die Kommunikation, sondern auch die Technikgestaltung des Unternehmens von Grund auf datenschutzkonform sein.
Die Prinzipien Privacy by Design vs. Privacy by Default gewährleisten, dass Unternehmen schon bei der Entwicklung und dem Einsatz von Hard- und Software alle Datenschutzvorgaben berücksichtigen und die entsprechenden Voreinstellungen vornehmen, um personenbezogene Daten DSGVO-konform zu verarbeiten. Unternehmen, die dieses Thema ernst nehmen möchten, tun gut daran, sich von Anfang an Unterstützung durch erfahrene Datenschutzexperten zu sichern.
Sie haben Fragen zur Einhaltung der DSGVO oder suchen nach einem externen Datenschutzbeauftragten?
Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen: