Privacy by Design & Privacy by Default

Die beiden Begriffe «Privacy by Design» und «Privacy by Default» sind im Bereich des Datenschutzes ein fester Bestandteil und werden im neuen Schweizer Datenschutzgesetz, welches am 01. September 2023 in Kraft tritt, ebenfalls verankert (vgl. Art. 7 nDSG). Wir erklären dir in diesem Artikel die genaue Definition und was es zu beachten gilt.
«Privacy by Design and Default» oder auf Deutsch «Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen» sind in der Schweiz noch neue Begriffe. In der DSGVO (Datenschutz-Grundverordnung), welche seit Mai 2018 im EU-Raum zum Tragen kommt, sind diese Begriffe ebenfalls bereits ein fester Bestandteil.

Bei der Verarbeitung von Personendaten müssen bereits bei der Planung, bevor die Daten überhaupt gesammelt werden, technische und auch organisatorische Maßnahmen getroffen werden, um die Umsetzung des Datenschutzgesetzes in den betroffenen Systemen sicherstellen zu können (Privacy-by-Design).
Auch die Voreinstellungen, z.B. bei der Erstellung von Apps oder von einer Website, müssen so konzipiert sein, dass die Bearbeitung der Personendaten auf das nötige Mindestmass und nur für den Verwendungszweck beschränkt ist (Privacy-by-Default).

«Privacy by Design» bedeutet auf Deutsch «Datenschutz durch Technikgestaltung» und ist im neuen Datenschutzgesetz in Artikel 7, Abs. 1 und 2 geregelt:

« (1) Der Verantwortliche ist verpflichtet, die Datenbearbeitung technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden, insbesondere die Grundsätze nach Artikel 6. Er berücksichtigt dies ab der Planung.»
« (2) Die technischen und organisatorischen Maßnahmen müssen insbesondere dem Stand der Technik, der Art und dem Umfang der Datenbearbeitung sowie dem Risiko, das die Bearbeitung für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt, angemessen sein.»

In einfachen Worten erklärt, bedeutet das nichts anderes, als dass sich der Datenschutz am besten Einhalten lässt, wenn er bereits bei Erarbeitung eines Datenverarbeitungsvorgangs technisch integriert ist. Achte also bereits zu Beginn eines neuen Projekts auf die Grundsätze des Datenschutzes und triff die notwendigen Maßnahmen.

Nachfolgend findest du eine kurze nichtabschliessende Checkliste mit den wichtigsten Punkten, worauf du zu Beginn einer neuen Datensammlung besonders achten musst:

“Privacy by Default” bedeutet auf Deutsch «Datenschutz durch datenschutzfreundliche Voreinstellungen» und ist im neuen Gesetz in Artikel 7, Abs. 3 geregelt:

« (3) Der Verantwortliche ist verpflichtet, mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt.»

Damit soll verhindert werden, dass ein Nutzer, der die Voreinstellungen nicht ändert, hinsichtlich des Datenschutzes benachteiligt wird. Ein klassisches Beispiel ist die Zustimmung zur Verwendung der Personendaten für Werbezwecke. Das entsprechende Feld muss in den Voreinstellungen leer sein und darf nicht schon ein Häkchen beinhalten. Interessiert sich der betroffene Nutzer für die Werbung, muss er aktiv zustimmen.

Im Gegensatz zur DSGVO hat der schweizerische Gesetzgeber auf eine allgemeine Dokumentationspflicht betreffend Privacy by Design und Privacy by Default verzichtet, soweit sie nicht im Rahmen des Verzeichnisses der Bearbeitungstätigkeiten nachgewiesen werden muss.
Dennoch können datenschutzfreundliche Voreinstellungen aber auch das Vertrauen deiner Kunden stärken, da das Thema «Datenschutz» in der breiten Bevölkerung immer wie mehr Anklang findet.