Privacy by Design & Privacy by Default
Inhaltsverzeichnis
"Privacy What?"
Die beiden Begriffe «Privacy by Design» und «Privacy by Default» sind im Bereich des Datenschutzes ein fester Bestandteil und werden im neuen Schweizer Datenschutzgesetz, welches am 01. September 2023 in Kraft tritt, ebenfalls verankert (vgl. Art. 7 nDSG). Wir erklären dir in diesem Artikel die genaue Definition und was es zu beachten gilt.
«Privacy by Design and Default» oder auf Deutsch «Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen» sind in der Schweiz noch neue Begriffe. In der DSGVO (Datenschutz-Grundverordnung), welche seit Mai 2018 im EU-Raum zum Tragen kommt, sind diese Begriffe ebenfalls bereits ein fester Bestandteil.
Bei der Verarbeitung von Personendaten müssen bereits bei der Planung, bevor die Daten überhaupt gesammelt werden, technische und auch organisatorische Maßnahmen getroffen werden, um die Umsetzung des Datenschutzgesetzes in den betroffenen Systemen sicherstellen zu können (Privacy-by-Design).
Auch die Voreinstellungen, z.B. bei der Erstellung von Apps oder von einer Website, müssen so konzipiert sein, dass die Bearbeitung der Personendaten auf das nötige Mindestmass und nur für den Verwendungszweck beschränkt ist (Privacy-by-Default).
Privacy by Design
«Privacy by Design» bedeutet auf Deutsch «Datenschutz durch Technikgestaltung» und ist im neuen Datenschutzgesetz in Artikel 7, Abs. 1 und 2 geregelt:
« (1) Der Verantwortliche ist verpflichtet, die Datenbearbeitung technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden, insbesondere die Grundsätze nach Artikel 6. Er berücksichtigt dies ab der Planung.»
« (2) Die technischen und organisatorischen Maßnahmen müssen insbesondere dem Stand der Technik, der Art und dem Umfang der Datenbearbeitung sowie dem Risiko, das die Bearbeitung für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt, angemessen sein.»
In einfachen Worten erklärt, bedeutet das nichts anderes, als dass sich der Datenschutz am besten Einhalten lässt, wenn er bereits bei Erarbeitung eines Datenverarbeitungsvorgangs technisch integriert ist. Achte also bereits zu Beginn eines neuen Projekts auf die Grundsätze des Datenschutzes und triff die notwendigen Maßnahmen.
Checkliste "Privacy by Design"
Nachfolgend findest du eine kurze nicht abschliessende Checkliste mit den wichtigsten Punkten, worauf du zu Beginn einer neuen Datensammlung besonders achten musst:
Datenminimierung
Datentrennung nach Zweck
Zur Einhaltung des Datenschutzgrundsatzes können Personendaten nach dem Zweck, für den sie erhoben wurden, strikt getrennt werden.
Selektiver Passwortschutz
Damit kann sichergestellt werden, dass nur diejenigen Mitarbeiter im Unternehmen Zugang zu den Personendaten haben, die sie für ihre Arbeit auch wirklich benötigen (die Raumpflegerin muss beispielsweise keinen Zugriff auf die Buchhaltungsdaten haben).
Löschkonzept
Privacy by Default
“Privacy by Default” bedeutet auf Deutsch «Datenschutz durch datenschutzfreundliche Voreinstellungen» und ist im neuen Gesetz in Artikel 7, Abs. 3 geregelt:
« (3) Der Verantwortliche ist verpflichtet, mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt.»
Damit soll verhindert werden, dass ein Nutzer, der die Voreinstellungen nicht ändert, hinsichtlich des Datenschutzes benachteiligt wird. Ein klassisches Beispiel ist die Zustimmung zur Verwendung der Personendaten für Werbezwecke. Das entsprechende Feld muss in den Voreinstellungen leer sein und darf nicht schon ein Häkchen beinhalten. Interessiert sich der betroffene Nutzer für die Werbung, muss er aktiv zustimmen.
Fazit
Im Gegensatz zur DSGVO hat der schweizerische Gesetzgeber auf eine allgemeine Dokumentationspflicht betreffend Privacy by Design und Privacy by Default verzichtet, soweit sie nicht im Rahmen des Verzeichnisses der Bearbeitungstätigkeiten nachgewiesen werden muss.
Dennoch können datenschutzfreundliche Voreinstellungen aber auch das Vertrauen deiner Kunden stärken, da das Thema «Datenschutz» in der breiten Bevölkerung immer wie mehr Anklang findet.
Weitere Beiträge, die dich interessieren könnten
Neues Datenschutzgesetz Schweiz
Im September 2023 tritt das neue Datenschutzgesetz in der Schweiz in Kraft. Wir zeigen dir, wie du dich auf die Veränderung vorbereiten kannst und worauf du achten musst.
Richtiges Bildformat fürs Web
Bevor du ein Bild auf deine Webseite lädst, musst du auf die Datei- und Bildgrösse und auf das richtige Format achten. Wir zeigen dir, worauf du achten musst.
10 Gründe für eine eigene Website
Ohne Website? Keine Existenz! Von verpassten Chancen bis zum Unsichtbar sein im Internet – hier sind 10 explosive Gründe, warum du jetzt eine eigene Website brauchst.