Privacy by Design & Privacy by Default

Privacy by Design und Privacy by Default sind zwei wichtige Schlagwörter, die in der Schweiz noch unbekannt sind, dennoch im neuen Datenschutzgesetz, welches am 01. September 2023 in Kraft tritt, verankert wird. In diesem Artikel definieren wir die beiden Begriffe und zeigen dir, worauf du achten solltest.

Die beiden Begriffe «Privacy by Design» und «Privacy by Default» sind im Bereich des Datenschutzes ein fester Bestandteil und werden im neuen Schweizer Datenschutzgesetz, welches am 01. September 2023 in Kraft tritt, ebenfalls verankert (vgl. Art. 7 nDSG). Wir erklären dir in diesem Artikel die genaue Definition und was es zu beachten gilt.
«Privacy by Design and Default» oder auf Deutsch «Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen» sind in der Schweiz noch neue Begriffe. In der DSGVO (Datenschutz-Grundverordnung), welche seit Mai 2018 im EU-Raum zum Tragen kommt, sind diese Begriffe ebenfalls bereits ein fester Bestandteil.

Bei der Verarbeitung von Personendaten müssen bereits bei der Planung, bevor die Daten überhaupt gesammelt werden, technische und auch organisatorische Maßnahmen getroffen werden, um die Umsetzung des Datenschutzgesetzes in den betroffenen Systemen sicherstellen zu können (Privacy-by-Design).
Auch die Voreinstellungen, z.B. bei der Erstellung von Apps oder von einer Website, müssen so konzipiert sein, dass die Bearbeitung der Personendaten auf das nötige Mindestmass und nur für den Verwendungszweck beschränkt ist (Privacy-by-Default).

Privacy by Design

«Privacy by Design» bedeutet auf Deutsch «Datenschutz durch Technikgestaltung» und ist im neuen Datenschutzgesetz in Artikel 7, Abs. 1 und 2 geregelt:

« (1) Der Verantwortliche ist verpflichtet, die Datenbearbeitung technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden, insbesondere die Grundsätze nach Artikel 6. Er berücksichtigt dies ab der Planung.»
« (2) Die technischen und organisatorischen Maßnahmen müssen insbesondere dem Stand der Technik, der Art und dem Umfang der Datenbearbeitung sowie dem Risiko, das die Bearbeitung für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt, angemessen sein.»

In einfachen Worten erklärt, bedeutet das nichts anderes, als dass sich der Datenschutz am besten Einhalten lässt, wenn er bereits bei Erarbeitung eines Datenverarbeitungsvorgangs technisch integriert ist. Achte also bereits zu Beginn eines neuen Projekts auf die Grundsätze des Datenschutzes und triff die notwendigen Maßnahmen.

Checkliste «Privacy by Design”

Nachfolgend findest du eine kurze nichtabschliessende Checkliste mit den wichtigsten Punkten, worauf du zu Beginn einer neuen Datensammlung besonders achten musst:

Checkliste Privacy by Design

4 Dinge, die du in Bezug auf Privacy by Design beachten musst

Checkliste über Privacy by Design im Überblick!

Datenminimierung

Erfasse nur diejenigen Personendaten, die für die Geschäftsabwicklung unbedingt notwendig sind.

Datentrennung nach Zweck

Zur Einhaltung des Datenschutzgrundsatzes können Personendaten nach dem Zweck, für den sie erhoben wurden, strikt getrennt werden.

Selektiver Passwortschutz

Damit kann sichergestellt werden, dass nur diejenigen Mitarbeiter im Unternehmen Zugang zu den Personendaten haben, die sie für ihre Arbeit auch wirklich benötigen (die Raumpflegerin muss beispielsweise keinen Zugriff auf die Buchhaltungsdaten haben).

Löschkonzept

Erstelle ein Konzept zu welchem Zeitpunkt die Daten gelöscht werden sollen. Beachte dabei aber die gesetzlichen Aufbewahrungsfristen.

Privacy by Default

“Privacy by Default” bedeutet auf Deutsch «Datenschutz durch datenschutzfreundliche Voreinstellungen» und ist im neuen Gesetz in Artikel 7, Abs. 3 geregelt:

« (3) Der Verantwortliche ist verpflichtet, mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt.»

Damit soll verhindert werden, dass ein Nutzer, der die Voreinstellungen nicht ändert, hinsichtlich des Datenschutzes benachteiligt wird. Ein klassisches Beispiel ist die Zustimmung zur Verwendung der Personendaten für Werbezwecke. Das entsprechende Feld muss in den Voreinstellungen leer sein und darf nicht schon ein Häkchen beinhalten. Interessiert sich der betroffene Nutzer für die Werbung, muss er aktiv zustimmen.

Fazit

Im Gegensatz zur DSGVO hat der schweizerische Gesetzgeber auf eine allgemeine Dokumentationspflicht betreffend Privacy by Design und Privacy by Default verzichtet, soweit sie nicht im Rahmen des Verzeichnisses der Bearbeitungstätigkeiten nachgewiesen werden muss.
Dennoch können datenschutzfreundliche Voreinstellungen aber auch das Vertrauen deiner Kunden stärken, da das Thema «Datenschutz» in der breiten Bevölkerung immer wie mehr Anklang findet.

Ähnliche Blog-Artikel für dich

Neues Datenschutzgesetz in der Schweiz - Übersicht

Das neue Datenschutzgesetz in der Schweiz

Achtung, Schweizer Bürgerinnen und Bürger! Ein neues Datenschutzgesetz ist in Kraft und es betrifft auch dich! Informiere dich über die Veränderungen deiner Rechte und Pflichten und warum du das nicht ignorieren solltest. Erhalte einen Überblick über das Gesetz, das den Schutz deiner Daten gewährleistet – es betrifft uns alle!

Wie du Google Fonts lokal einbinden kannst - Übersicht

Wie du Google Fonts lokal einbinden kannst

Hole dir die totale Kontrolle! Befolge unsere unkomplizierte Anleitung und integriere Google Fonts lokal auf deinem Server. Erfahre, wie du Datenschutz und Performance optimierst und genieße die Vorteile in vollem Umfang!