Privacy by Design & Default – Was bedeutet das für dein Unternehmen?
Inhaltsverzeichnis
Privacy by Design & Privacy by Default - Was steckt dahinter?
Die Begriffe Privacy by Design und Privacy by Default sind fester Bestandteil des Datenschutzes, aber in der Schweiz noch relativ unbekannt. Mit dem neuen Datenschutzgesetz (nDSG), das seit dem 1. September 2023 in Kraft ist, werden sie nun auch offiziell gesetzlich verankert (vgl. Art. 7 nDSG). Doch was genau bedeutet das?
- Privacy by Design heißt, dass der Schutz personenbezogener Daten nicht erst im Nachhinein bedacht wird, sondern von Anfang an in digitale Systeme, Websites und Apps eingebaut sein muss. Datenschutz sollte also direkt bei der Entwicklung berücksichtigt werden.
- Privacy by Default stellt sicher, dass standardmäßig die datenschutzfreundlichsten Einstellungen voreingestellt sind. Nutzer müssen also aktiv entscheiden, wenn sie beispielsweise personalisierte Werbung erhalten möchten – und nicht umgekehrt.
Warum ist "Privacy by Design" wichtig?
Privacy by Design bedeutet auf Deutsch „Datenschutz durch Technikgestaltung“ und ist eine zentrale Anforderung im neuen Schweizer Datenschutzgesetz (nDSG). Dieses Prinzip verpflichtet Unternehmen dazu, Datenschutzmaßnahmen bereits bei der Planung und Entwicklung von digitalen Systemen, Websites und Anwendungen zu berücksichtigen.
📌 Gesetzliche Grundlage:
Das neue Datenschutzgesetz regelt Privacy by Design in Artikel 7, Abs. 1 und 2 nDSG wie folgt:
(1) Der Verantwortliche ist verpflichtet, die Datenbearbeitung technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden, insbesondere die Grundsätze nach Artikel 6. Er berücksichtigt dies ab der Planung.
(2) Die technischen und organisatorischen Maßnahmen müssen insbesondere dem Stand der Technik, der Art und dem Umfang der Datenbearbeitung sowie dem Risiko, das die Bearbeitung für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt, angemessen sein.
Was bedeutet das in der Praxis?
Mit Privacy by Design wird Datenschutz nicht als nachträgliche Anpassung betrachtet, sondern von Anfang an in Prozesse und Technologien eingebaut. Das bedeutet:
✅ Datenschutz als Standard: Systeme sollten so entwickelt sein, dass sie automatisch die Privatsphäre der Nutzer respektieren.
✅ Minimierung von Daten: Nur die absolut notwendigen personenbezogenen Daten dürfen erhoben und verarbeitet werden.
✅ Sicherheit und Kontrolle: Nutzer sollen jederzeit die Kontrolle über ihre Daten behalten, und Unternehmen müssen technische Schutzmaßnahmen treffen.
Warum ist das wichtig?
Unternehmen, die von Anfang an auf Privacy by Design setzen, profitieren gleich doppelt:
✅ Sie reduzieren rechtliche Risiken und mögliche Bußgelder.
✅ Sie gewinnen das Vertrauen ihrer Kunden, indem sie Datenschutz transparent und nutzerfreundlich umsetzen.
Merke:
Mit der neuen gesetzlichen Regelung wird Datenschutz zur Pflicht – nicht erst, wenn ein System bereits läuft, sondern direkt in der Planungsphase. Wer sich frühzeitig damit auseinandersetzt, schützt nicht nur seine Nutzer, sondern auch sein eigenes Unternehmen vor späteren Problemen.
Checkliste "Privacy by Design"
Privacy by Design ist ein essenzielles Prinzip im Datenschutz und hilft Unternehmen, personenbezogene Daten sicher zu verarbeiten. Diese Checkliste zeigt, worauf du besonders achten solltest:
✅ Datenminimierung:
Privacy by Design bedeutet in der Praxis, nur die Personendaten zu erfassen, die für dein Unternehmen wirklich notwendig sind. Weniger Daten bedeuten weniger Risiko – also halte die Datenerhebung so gering wie möglich.
✅ Datentrennung nach Zweck:
Um den Grundsatz von Privacy by Design einzuhalten, sollten Personendaten nach ihrem Verwendungszweck getrennt werden. Beispielsweise dürfen Kundendaten für den Support nicht ohne Zustimmung für Marketingzwecke genutzt werden.
✅ Selektiver Passwortschutz:
Ein zentraler Aspekt von Privacy by Design ist der kontrollierte Zugang zu Daten. Stelle sicher, dass Mitarbeiter nur Zugriff auf die Informationen erhalten, die sie tatsächlich benötigen. Eine Reinigungskraft muss keine Finanzdaten sehen.
✅ Löschkonzept:
Privacy by Design beinhaltet auch klare Regeln zur Datenlöschung. Erstelle ein Konzept, das festlegt, wann Daten gelöscht werden, und beachte dabei gesetzliche Aufbewahrungspflichten.
Privacy by Default - Datenschutz als Standard
Privacy by Default bedeutet, dass Systeme, Software und Anwendungen standardmäßig so eingestellt sein müssen, dass der Datenschutz gewährleistet ist. Nutzer sollen nicht erst aktiv ihre Einstellungen ändern müssen, um ihre Privatsphäre zu schützen – vielmehr ist der Schutz von Anfang an die Voreinstellung.
Ein klassisches Beispiel ist die Einwilligung für Werbezwecke:
Nutzer dürfen nicht automatisch für Newsletter oder Werbung angemeldet sein – sie müssen aktiv zustimmen („Opt-in“ statt „Opt-out“).
📌 Gesetzliche Grundlage:
Diese Grundsätze sind in Artikel 7 Abs. 3 des neuen Schweizer Datenschutzgesetzes (nDSG) verankert:
„Der Verantwortliche ist verpflichtet, mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmaß beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt.“
Beispiele für Privacy by Default in der Praxis:
✅ Datenschutzfreundliche Grundeinstellungen: Systeme müssen so konfiguriert sein, dass möglichst wenige personenbezogene Daten verarbeitet werden.
✅ Keine voreingestellten Häkchen: Einwilligungen für Werbung oder Tracking müssen vom Nutzer aktiv gesetzt werden – nicht umgekehrt.
✅ Automatische Datenlöschung: Daten, die nicht mehr benötigt werden, sollten automatisch nach einer bestimmten Zeit gelöscht werden, wenn keine gesetzlichen Aufbewahrungspflichten bestehen.
✅ Minimierung der Datensammlung: Unternehmen dürfen nur so viele Daten speichern, wie sie für einen bestimmten Zweck tatsächlich benötigen.
Warum ist Privacy by Default wichtig?
✅ Erfüllt gesetzliche Anforderungen: Unternehmen, die sich an Privacy by Default halten, vermeiden rechtliche Probleme und mögliche Bußgelder.
✅ Erhöht das Kundenvertrauen: Nutzer wissen, dass ihre Daten von Anfang an geschützt sind.
✅ Verbessert die Datensicherheit: Weniger gesammelte Daten bedeuten ein geringeres Risiko für Datenlecks oder Missbrauch.
Merke:
Privacy by Default ist kein „nice-to-have“, sondern eine gesetzliche Pflicht. Unternehmen, die sich frühzeitig damit auseinandersetzen, profitieren langfristig von mehr Rechtssicherheit und zufriedenen Kunden.
Häufige Fehler bei Privacy by Design & Default
Auch wenn das neue Datenschutzgesetz klare Anforderungen stellt, machen viele Unternehmen Fehler bei der Umsetzung von Privacy by Design und Privacy by Default. Hier sind die häufigsten Stolperfallen – und wie du sie vermeiden kannst:
❌ 1. Datenschutz erst nachträglich integrieren
Viele Unternehmen denken erst an Datenschutz, wenn das System bereits läuft. Doch Privacy by Design verlangt, dass der Datenschutz von Anfang an eingeplant wird.
✅ Besser so: Stelle sicher, dass Datenschutzmaßnahmen bereits in der Planungsphase berücksichtigt werden – nicht erst, wenn Probleme auftreten.
❌ 2. Voreinstellungen nicht datenschutzfreundlich gestalten
Ein häufiger Fehler ist, dass Systeme unsichere Standardeinstellungen haben, z. B. automatisch aktivierte Werbe-Tracking-Optionen oder standardmässig gesetzte Häkchen für Newsletter-Abonnements.
✅ Besser so: Voreinstellungen müssen so restriktiv wie möglich sein. Nutzer sollten aktiv zustimmen müssen (Opt-in), anstatt sich erst abmelden zu müssen (Opt-out).
❌ 3. Mehr Daten speichern als nötig
Manche Unternehmen sammeln aus Bequemlichkeit mehr Daten, als sie wirklich brauchen – nach dem Motto: „Vielleicht brauchen wir das später noch.“ Doch das widerspricht dem Prinzip der Datenminimierung.
✅ Besser so: Speichere nur die Daten, die für den aktuellen Verwendungszweck notwendig sind.
❌ 4. Fehlendes Löschkonzept
Viele Unternehmen vergessen, dass sie nicht ewig Daten speichern dürfen. Ohne klare Löschrichtlinien kann es passieren, dass Daten unnötig lange gespeichert werden – ein DSG-Verstoß.
✅ Besser so: Erstelle ein Löschkonzept, das festlegt, wann und wie Daten gelöscht werden, und beachte dabei gesetzliche Aufbewahrungsfristen.
❌ 5. Fehlende Schulung der Mitarbeiter
Selbst wenn das System sicher ist – wenn Mitarbeitende nicht geschult sind, entstehen Lücken. Wer nicht weiß, wie mit personenbezogenen Daten umzugehen ist, kann unabsichtlich Datenschutzverstöße begehen.
✅ Besser so: Schulungen für alle Mitarbeitenden einführen – besonders für jene, die mit sensiblen Daten arbeiten.
Fazit: Privacy by Design & Default als Basis für Datenschutz
Privacy by Design und Privacy by Default sind keine bloßen Schlagwörter, sondern essenzielle Grundsätze für modernen Datenschutz. Unternehmen, die sich frühzeitig mit diesen Konzepten auseinandersetzen, minimieren nicht nur rechtliche Risiken, sondern stärken auch das Vertrauen ihrer Kunden.
Während Privacy by Design sicherstellt, dass Datenschutz bereits in der Entwicklung von Systemen und Prozessen verankert ist, sorgt Privacy by Default dafür, dass Nutzerdaten standardmäßig bestmöglich geschützt sind. Die Einhaltung dieser Prinzipien ist nicht nur gesetzlich vorgeschrieben, sondern auch ein klarer Wettbewerbsvorteil für Unternehmen, die Wert auf Transparenz und Sicherheit legen.
Wir kennen die Anforderungen des neuen Schweizer Datenschutzgesetzes (nDSG) genau und stellen sicher, dass alle von uns erstellten Websites vollständig den gesetzlichen Vorgaben entsprechen.
Sichere dir jetzt deine Datenschutz-konforme Website!
Weitere Beiträge, die dich interessieren könnten
Neues Datenschutzgesetz Schweiz
Richtiges Bildformat fürs Web
