08.05.2018

Datenschutzgesetz: Privacy by Design und Privacy by Default

Privacy by Design und Privacy by Default waren bisher oft nicht mehr als Schlagworte. Mit der DSGVO werden diese Konzeptionen nun für die Verarbeitung von Personendaten zu verbindlichem Recht.

Von: Daniel Kettiger   Drucken Teilen   Kommentieren  

Mag. rer. publ. Daniel Kettiger

Daniel Kettiger ist Rechtsanwalt und Berater in Bern (www.kettiger.ch). Eines seiner Arbeitsschwergewichte liegt im Datenrecht (Datenschutz, besondere Geheimhaltungspflichten, Öffentlichkeitsprinzip, Urheberrechtsschutz, Geoinformationsrecht, etc.).

Zu diesem Artikel wurden noch keine Kommentare geschrieben. Wir freuen uns, wenn Sie den ersten Kommentar zu diesem Artikel verfassen.
 
Kommentar schreiben

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben! Bitte geben Sie eine gültige E-Mail-Adresse ein!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte alle fett beschrifteten Pflichtfelder ausfüllen.
Zurücksetzen
 

Neues Datenschutzrecht

Unter dem Titel «Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen» fordert die EU-Datenschutz-Grundverordnung (DSGVO) von den Unternehmen im EU-Raum, aber auch von Schweizer Unternehmen, auf deren Verarbeitung von Personendaten das neue EU-Recht Anwendung findet, künftig technische und organisatorische Massnahmen. Ähnliche Regelungen sieht auch der Entwurf zu einem neuen schweizerischen Datenschutzgesetz vor, der sich in der parlamentarischen Beratung befindet. Vollständig neu sind die gesetzlichen Anforderungen allerdings nicht, denn «Privacy by Design» entspricht in Teilen einigen herkömmlichen Datenschutzgrundsätzen und das Landgericht Berlin hat im Januar 2018 in einem nicht rechtskräftigen Urteil gegen Facebook festgehalten, dass bestimmte Voreinstellungen gegen geltendes Deutsches Verbraucherschutzrecht verstossen.

Privacy by Design

Privacy by Design (Art. 25 Abs. 1 DSGVO) geht auf ein Konzept einer kanadischen Datenschutzbeauftragten aus den 1990er-Jahren zurück. Ziel der Konzeption ist es, das Risiko bei der Verarbeitung von Personendaten zu senken. Grundgedanke ist, den Schutz der Personendaten präventiv in der technischen und organisatorischen Konzeption von Verarbeitungs-Systemen anzulegen. Art. 25 Abs. 1 DSGVO fordert vom Verantwortlichen, d.h. vom Unternehmen, das die Daten verarbeitet, angemessene technische und organisatorische Massnahmen, um die Datenschutzgrundsätze einzuhalten. Insgesamt erfordert Privacy by Design somit nicht alleine technische Lösungen bezogen auf die Datenverarbeitung selbst. Adressat der Rechtsnorm ist nur der Verantwortliche, nicht auch der Hersteller von Hard- oder Software. Welche Massnahmen zu ergreifen sind, ist anhand des Risikos, der Wirksamkeit der Massnahme, des Stands der Technik und des Aufwands festzulegen, wobei das Kostenargument selten von Massnahmen dispensiert. Implementiert werden müssen die technischen und organisatorischen Massnahmen mit der Einrichtung eines Systems zur Verarbeitung von Personendaten. Im Folgenden sollen einige Beispiele von Massnahmen aufgeführt werden:

  • Datenminimierung: Es sollen nur jene Personendaten erfasst werden können und verarbeitet werden, die für die Geschäftsabwicklung unbedingt erforderlich sind.
  • Pseudonymisierung: Personendaten werden schnellstmöglich pseudonymisiert. So können beispielsweise in Einrichtungen des Gesundheitswesens die Namen von Personen von den Informationen über den Gesundheitszustand und die Behandlung getrennt gespeichert und erst beim zulässigen Abruf zusammengeführt werden.
  • Datentrennung nach Zweck: Zur Einhaltung des Grundsatzes der Zweckbindung können Personendaten strikt getrennt nach dem Zweck, für den sie erhoben wurden, gespeichert werden.
  • Selektiver Passwortschutz: Mit selektivem Passwortschutz kann sichergestellt werden, dass nur jene Mitarbeiter eines Unternehmens Zugriff auf bestimmte Personendaten haben, welche diese Daten für ihre Arbeit wirklich benötigen (der Lagerist und Verpacker muss keinen Zugriff auf die Buchhaltungsdaten haben).
  • Löschkonzept: Es sollte ein Konzept zur Löschung der Daten bestehen. Am besten ist, wenn das System nach einem vorgegebenen Zeitablauf die Personendaten automatisch löscht. Dabei sind gesetzliche Aufbewahrungsfristen (z.B. für Berufe des Gesundheitswesens oder für Rechtsanwälte sowie aus Buchführungsvorschriften) zu berücksichtigen.
  • Verpixeln von Bilddaten: Bei Bild- und Videodaten, bei denen vom Zweck her die Gesichter nicht erkennbar sein müssen (z.B. Videoüberwachungsanlagen, die nur der Verkehrsüberwachung oder der Sicherheit von technischen Abläufen dienen) sind Gesichter automatisch durch Verpixeln unkenntlich zu machen.

Für mobile Apps hat ein internationaler Anbieter-Verband «Privacy-Design»-Richtlinien geschaffen, die den Anliegen von Privacy by Design Rechnung tragen: https://www.gsma.com/publicpolicy/wp-content/uploads/2018/02/GSMA-Privacy-Design-Guidelines-for-Mobile-Application-Development.pdf (23.04.2018).

Privacy by Default

Privacy by Default bezieht sich auf die datenschutzrelevanten Voreinstellungen bei Internet-Anwendungen bzw. mobilen Apps. Art. 25 Abs. 2 DSGVO verlangt vom Verantwortlichen, d.h. vom Unternehmen, das die Daten verarbeitet, datenschutzfreundliche Voreinstellungen. Damit soll verhindert werden, dass eine betroffene Person, welche ihre Voreinstellungen nicht ändert, hinsichtlich des Datenschutzes benachteiligt wird. Die betroffenen Personen sollen in eine Lockerung des Datenschutzes aktiv und bewusst (im Sinne eines «opt in») durch Änderung der Voreinstellungen einwilligen. Ein «klassischer» Anwendungsfall ist die Zustimmung zur Verwendung der Personendaten für Werbezwecke: Das entsprechende Feld muss in der Voreinstellung leer sein und darf nicht schon ein Kreuzchen oder Häkchen beinhalten. In diesem Fall ist überdies das Recht zum Werbewiderspruch (Art. 21 DSGVO) zu beachten.

Nachweispflicht und Sanktionen

Ein Unternehmen, dessen Verarbeitungsvorgänge der DSGVO unterstehen, muss nachweisen können, dass es im Rahmen des Zumutbaren angemessene Massnahmen nach Art. 25 DSGVO getroffen hat. Eine erfolgte Zertifizierung im Sinne von Art. 42 DSGVO führt zu einem erleichterten Nachweis der Einhaltung der Vorschriften. Die Missachtung der Grundsätze von Privacy by Design und Privacy by Default kann zu Sanktionen, namentlich zu Geldstrafen führen. Positiv gedacht können datenschutzfreundliche Voreinstellungen aber auch das Vertrauen der Kunden in ein Unternehmen stärken, denn die jüngsten Vorfälle mit Personendaten (u.a. bei Facebook) scheinen in der Bevölkerung langsam ein Misstrauen gegenüber Daten verarbeitende Unternehmen entstehen zu lassen.

Seminar-Empfehlung

Praxis-Seminar, 1 Tag, ZWB, Zürich

Workshop Datenschutz in der Praxis

Die neue DSGVO und deren Folgen für Schweizer Unternehmen

Nächster Termin: 13. Juni 2018

mehr Infos

Produkt-Empfehlungen

  • InformatikPraxis

    InformatikPraxis

    DIE ultimative Praxislösung für IT-Entscheider!

    ab CHF 168.00

  • WEKA Musterverträge

    WEKA Musterverträge

    Die in der Praxis am häufigsten eingesetzten Musterverträge.

    Mehr Infos

  • Rechtssicher

    Rechtssicher

    Sicherheit bei Rechtsfragen im Geschäftsalltag

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Workshop Datenschutz in der Praxis

    Die neue DSGVO und deren Folgen für Schweizer Unternehmen

    Nächster Termin: 13. Juni 2018

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    IT-Verträge entwerfen und verhandeln

    Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

    Nächster Termin: 19. Juni 2018

    mehr Infos

  • Praxis-Seminar, ½ Tag, ZWB, Zürich

    Update Datenschutz

    Neuerungen in der EU und der Schweiz

    Nächster Termin: 06. September 2018

    mehr Infos

Um unsere Website laufend zu verbessern, verwenden wir Cookies. Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Mehr Infos