Privacy by Design und Privacy by Default

Datenschutz durch Technikgestaltung + Datenschutz durch datenschutzfreundliche Voreinstellungen

Die beiden Begriffe «Privacy by Design» und «Privacy by Default» sind im Bereich des Datenschutzes ein fester Bestandteil und werden im neuen Schweizer Datenschutzgesetz, welches am 01. September 2023 in Kraft tritt, ebenfalls verankert (vgl. Art. 7 nDSG). Wir erklären Ihnen in diesem Artikel die genaue Definition und was es zu beachten gilt.
«Privacy by Design and Default» oder auf Deutsch «Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen» sind in der Schweiz noch neue Begriffe. In der DSGVO (Datenschutz-Grundverordnung), welche seit Mai 2018 im EU-Raum zum Tragen kommt, sind diese Begriffe ebenfalls bereits ein fester Bestandteil.

Bei der Verarbeitung von Personendaten müssen bereits bei der Planung, bevor die Daten überhaupt gesammelt werden, technische und auch organisatorische Maßnahmen getroffen werden, um die Umsetzung des Datenschutzgesetzes in den betroffenen Systemen sicherstellen zu können (Privacy-by-Design).
Auch die Voreinstellungen, z.B. bei der Erstellung von Apps oder von einer Website, müssen so konzipiert sein, dass die Bearbeitung der Personendaten auf das nötige Mindestmass und nur für den Verwendungszweck beschränkt ist (Privacy-by-Default).

Privacy by Design

«Privacy by Design» bedeutet auf Deutsch «Datenschutz durch Technikgestaltung» und ist im neuen Datenschutzgesetz in Artikel 7, Abs. 1 und 2 geregelt:

« 1 Der Verantwortliche ist verpflichtet, die Datenbearbeitung technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden, insbesondere die Grundsätze nach Artikel 6. Er berücksichtigt dies ab der Planung.»
« 2 Die technischen und organisatorischen Maßnahmen müssen insbesondere dem Stand der Technik, der Art und dem Umfang der Datenbearbeitung sowie dem Risiko, das die Bearbeitung für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt, angemessen sein.»

In einfachen Worten erklärt, bedeutet das nichts anderes, als dass sich der Datenschutz am besten Einhalten lässt, wenn er bereits bei Erarbeitung eines Datenverarbeitungsvorgangs technisch integriert ist. Achten Sie also bereits zu Beginn eines neuen Projekts auf die Grundsätze des Datenschutzes und treffen Sie die notwendigen Maßnahmen.

Checkliste „Privacy by Design“

Nachfolgendend finden Sie eine kurze nichtabschliessende Checkliste mit den wichtigsten Punkten, worauf Sie zu Beginn einer neuen Datensammlung besonders achten müssen:

Checkliste

Checkliste von Privacy by Design – Worauf geachtet werden muss.

Datenminimierung

Erfassen Sie nur diejenigen Personendaten, die für die Geschäftsabwicklung unbedingt notwendig sind.

Datentrennung nach Zweck

Zur Einhaltung des Datenschutzgrundsatzes können Personendaten nach dem Zweck, für den sie erhoben wurden, strikt getrennt werden.

Selektiver Passwortschutz

Damit kann sichergestellt werden, dass nur diejenigen Mitarbeiter im Unternehmen Zugang zu den Personendaten haben, die sie für ihre Arbeit auch wirklich benötigen (die Raumpflegerin muss beispielsweise keinen Zugriff auf die Buchhaltungsdaten haben).

Löschkonzept

Erstellen Sie ein Konzept zu welchem Zeitpunkt die Daten gelöscht werden sollen. Beachten Sie dabei aber die gesetzlichen Aufbewahrungsfristen.

Checkliste Privacy by Design

Privacy by Default

“Privacy by Default” bedeutet auf Deutsch «Datenschutz durch datenschutzfreundliche Voreinstellungen» und ist im neuen Gesetz in Artikel 7, Abs. 3 geregelt:

« 3 Der Verantwortliche ist verpflichtet, mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt.»

Damit soll verhindert werden, dass ein Nutzer, der die Voreinstellungen nicht ändert, hinsichtlich des Datenschutzes benachteiligt wird. Ein klassisches Beispiel ist die Zustimmung zur Verwendung der Personendaten für Werbezwecke. Das entsprechende Feld muss in den Voreinstellungen leer sein und darf nicht schon ein Häkchen beinhalten. Interessiert sich der betroffene Nutzer für die Werbung, muss er aktiv zustimmen.

Fazit

Im Gegensatz zur DSGVO hat der schweizerische Gesetzgeber auf eine allgemeine Dokumentationspflicht betreffend Privacy by Design und Privacy by Default verzichtet, soweit sie nicht im Rahmen des Verzeichnisses der Bearbeitungstätigkeiten nachgewiesen werden muss.
Dennoch können datenschutzfreundliche Voreinstellungen aber auch das Vertrauen Ihrer Kunden stärken, da das Thema «Datenschutz» in der breiten Bevölkerung immer wie mehr Anklang findet.