Privacy by Design & Privacy by Default

Privacy by Design und Privacy by Default sind zwei wichtige Schlagwörter, die in der Schweiz noch unbekannt sind, dennoch im neuen Datenschutzgesetz, welches am 01. September 2023 in Kraft tritt, verankert wird. In diesem Artikel definieren wir die beiden Begriffe und zeigen dir, worauf du achten solltest.

"Privacy What?"

Die beiden Begriffe «Privacy by Design» und «Privacy by Default» sind im Bereich des Datenschutzes ein fester Bestandteil und werden im neuen Schweizer Datenschutzgesetz, welches am 01. September 2023 in Kraft tritt, ebenfalls verankert (vgl. Art. 7 nDSG). Wir erklären dir in diesem Artikel die genaue Definition und was es zu beachten gilt.

«Privacy by Design and Default» oder auf Deutsch «Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen» sind in der Schweiz noch neue Begriffe. In der DSGVO (Datenschutz-Grundverordnung), welche seit Mai 2018 im EU-Raum zum Tragen kommt, sind diese Begriffe ebenfalls bereits ein fester Bestandteil.

Privacy by Design und Privacy by Default - Worum geht es genau?

Bei der Verarbeitung von Personendaten müssen bereits bei der Planung, bevor die Daten überhaupt gesammelt werden, technische und auch organisatorische Maßnahmen getroffen werden, um die Umsetzung des Datenschutzgesetzes in den betroffenen Systemen sicherstellen zu können (Privacy-by-Design).
Auch die Voreinstellungen, z.B. bei der Erstellung von Apps oder von einer Website, müssen so konzipiert sein, dass die Bearbeitung der Personendaten auf das nötige Mindestmass und nur für den Verwendungszweck beschränkt ist (Privacy-by-Default).

Privacy by Design

«Privacy by Design» bedeutet auf Deutsch «Datenschutz durch Technikgestaltung» und ist im neuen Datenschutzgesetz in Artikel 7, Abs. 1 und 2 geregelt:

« (1) Der Verantwortliche ist verpflichtet, die Datenbearbeitung technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden, insbesondere die Grundsätze nach Artikel 6. Er berücksichtigt dies ab der Planung.»
« (2) Die technischen und organisatorischen Maßnahmen müssen insbesondere dem Stand der Technik, der Art und dem Umfang der Datenbearbeitung sowie dem Risiko, das die Bearbeitung für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt, angemessen sein.»

In einfachen Worten erklärt, bedeutet das nichts anderes, als dass sich der Datenschutz am besten Einhalten lässt, wenn er bereits bei Erarbeitung eines Datenverarbeitungsvorgangs technisch integriert ist. Achte also bereits zu Beginn eines neuen Projekts auf die Grundsätze des Datenschutzes und triff die notwendigen Maßnahmen.

Checkliste "Privacy by Design"

Nachfolgend findest du eine kurze nicht abschliessende Checkliste mit den wichtigsten Punkten, worauf du zu Beginn einer neuen Datensammlung besonders achten musst:

Checkliste Privacy by Design
Erfasse nur diejenigen Personendaten, die für die Geschäftsabwicklung unbedingt notwendig sind.

Zur Einhaltung des Datenschutzgrundsatzes können Personendaten nach dem Zweck, für den sie erhoben wurden, strikt getrennt werden.

Damit kann sichergestellt werden, dass nur diejenigen Mitarbeiter im Unternehmen Zugang zu den Personendaten haben, die sie für ihre Arbeit auch wirklich benötigen (die Raumpflegerin muss beispielsweise keinen Zugriff auf die Buchhaltungsdaten haben).

Erstelle ein Konzept zu welchem Zeitpunkt die Daten gelöscht werden sollen. Beachte dabei aber die gesetzlichen Aufbewahrungsfristen.

Privacy by Default

“Privacy by Default” bedeutet auf Deutsch «Datenschutz durch datenschutzfreundliche Voreinstellungen» und ist im neuen Gesetz in Artikel 7, Abs. 3 geregelt:

« (3) Der Verantwortliche ist verpflichtet, mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt.»

Damit soll verhindert werden, dass ein Nutzer, der die Voreinstellungen nicht ändert, hinsichtlich des Datenschutzes benachteiligt wird. Ein klassisches Beispiel ist die Zustimmung zur Verwendung der Personendaten für Werbezwecke. Das entsprechende Feld muss in den Voreinstellungen leer sein und darf nicht schon ein Häkchen beinhalten. Interessiert sich der betroffene Nutzer für die Werbung, muss er aktiv zustimmen.

Fazit

Im Gegensatz zur DSGVO hat der schweizerische Gesetzgeber auf eine allgemeine Dokumentationspflicht betreffend Privacy by Design und Privacy by Default verzichtet, soweit sie nicht im Rahmen des Verzeichnisses der Bearbeitungstätigkeiten nachgewiesen werden muss.
Dennoch können datenschutzfreundliche Voreinstellungen aber auch das Vertrauen deiner Kunden stärken, da das Thema «Datenschutz» in der breiten Bevölkerung immer wie mehr Anklang findet.

Weitere Beiträge, die dich interessieren könnten

Das neue Datenschutzgesetz in der Schweiz ab September 2023

Neues Datenschutzgesetz Schweiz

Im September 2023 tritt das neue Datenschutzgesetz in der Schweiz in Kraft. Wir zeigen dir, wie du dich auf die Veränderung vorbereiten kannst und worauf du achten musst.

Weiterlesen »

Möchtest du uns kennenlernen?

Du bist an unserem Angebot interessiert? Dann lass uns in einem unverbindlichen und kostenlosen Erstgespräch herausfinden, wie wir dir helfen können. Buche jetzt ganz einfach hier deinen Termin – wir freuen uns auf dich!

Termin buchen

Deine Angaben

Dein Erstgespräch - Wie & Wo

Wie und wo soll das Erstgespräch stattfinden? Wenn du aus den Kantonen BS, BL, AG, SO, BE, LU oder ZH bist, kommen wir auch gerne bei dir persönlich vorbei.

Dein Erstgespräch

Bitte gib hier mindestens zwei Terminvorschläge an, die dir am besten passen würden.

Worum geht es genau?

Damit wir uns auf das Gespräch vorbereiten können, bitten wir dich, uns kurz von deinem Projekt zu erzählen. Bitte gib an, worum es bei deinem Projekt geht. (Mehrfachauswahl möglich).