Privacy by Design und Privacy by Default: Zwei Prinzipien, ein Ziel

Das Wichtigste in Kürze

  • Nutzer genießen durch die Privacy-Prinzipien mehr Schutz.
  • Privacy by Design setzt voraus, dass schon bei der Entwicklung neuer Software das Thema Datenschutz umgesetzt wird.
  • Privacy by Default bezieht sich auf die Voreinstellungen von Hard- und Software, die im Sinne des Datenschutzes getroffen werden müssen.
  • Datenschutzerklärungen müssen jetzt so verfasst werden, dass alle Nutzer sie verstehen.
  • Auch für Cookies und Cookie-Banner spielen die Privacy-Prinzipien eine große Rolle.

In diesem Beitrag

Datenschutz – lästige Pflicht oder wichtiges Gut? In Zeiten von Big Data und allgegenwärtiger Online-Aktivität rückt dieses Thema immer mehr in den Vordergrund.

Früher war es vor allem Aufgabe des Nutzers, seine Daten zu schützen. Doch seit der Einführung der DSGVO (Datenschutz-Grundverordnung) sind Unternehmen deutlich stärker in die Pflicht genommen

Ein simpler Klick auf "Ich stimme zu" reicht schon lange nicht mehr aus. Unternehmen müssen den Datenschutz jetzt aktiv gestalten. Privacy by Design und Privacy by Default sind die Zauberworte. Was das bedeutet, erfahren Sie im Folgenden.

Privacy by Design vs. Privacy by Default: Wo ist der Unterschied?

Die Grundlagen von Privacy by Design und Privacy by Default bilden wesentliche Komponenten der Datenschutz-Grundverordnung (DSGVO), wo sie in Artikel 25 ausdrücklich festgeschrieben sind. Dabei ist festzuhalten, dass Privacy by Design und Privacy by Default zwei Seiten derselben Medaille sind und nicht etwa Gegensätze.

Das DSGVO-Konzept Privacy by Design oder auch „Datenschutz durch Technikgestaltung“ bedeutet, dass eine Softwarelösung (z. B. eine Website, eine Datenbank oder ein beliebiges Tool) mit der Intention entwickelt wird, die für ihren Betrieb benötigten Daten bestmöglich zu schützen. Das Thema Datenschutz wird also schon bei der Konzeption der Lösung mitbedacht.

Bei Privacy by Default greift der Datenschutz hingegen bei den Voreinstellungen von Diensten, Systemen oder Geräten. „Datenschutz durch datenschutzrechtliche Voreinstellungen“ lautet das Konzept. War es für Unternehmen und Behörden früher leicht möglich, durch entsprechende Voreinstellungen an personenbezogene Daten zu gelangen, haben nun die datenschutzfreundlichen Einstellungen Vorrang.

Wie profitieren Nutzer von Privacy by Design und Privacy by Default?

Durch die DSGVO und ihre beiden Prinzipien Privacy by Design und Privacy by Default wird der Datenschutz bei Soft- und Hardware zum Standard. Für den Nutzer bedeutet das: Er hat die Kontrolle über seine Daten und entscheidet selbst, ob und welche Informationen er über sich preisgibt.

Welche Anforderungen sind mit den beiden Prinzipien verbunden?

Aus dem Prinzip Privacy by Design ergeben sich vereinfacht folgende Anforderungen:

  • Schon bei der Entwicklung bzw. Konzeption einer Software muss ein Unternehmen darauf achten, dass nur die absolut erforderlichen personenbezogenen Daten der späteren Nutzer erfasst werden. Wer z. B. ein Bewerbungstool entwickelt, sollte nur die für eine Bewerbung erforderlichen Daten wie Lebenslauf und Zeugnisse erfassen, aber nicht bereits die Steuer-ID oder Sozialversicherungsnummer, da diese erst bei einer Einstellung relevant werden. Absolut tabu sind besondere Kategorien wie Gewerkschaftszugehörigkeit oder politische Aktivitäten, da diese ohnehin nur mit wirksamer Einwilligung und grundsätzlich in keiner Phase des Beschäftigungsverhältnisses verarbeitet werden dürfen.
  • Wo möglich, sollten Daten pseudonymisiert oder anonymisiert erfasst werden – also ohne direkten Rückschluss auf einen konkreten Nutzer.
  • Ebenso sollte ein Unternehmen von Beginn an sicherstellen, dass die Erfassung, Verarbeitung und Speicherung von personenbezogenen Daten später regelmäßig überwacht wird.
  • Nicht zuletzt muss auch für die Möglichkeit der Löschung von nicht mehr benötigten Daten Sorge getragen werden.

Das Prinzip Privacy by Default bedeutet für Unternehmen vor allem:

  • Das sogenannte Opt-out, bei dem Nutzer explizit der Verwendung ihrer Daten zum Beispiel für Werbezwecke widersprechen müssen, genügt nicht.
  • Stattdessen gilt die Vorgabe des Opt-in, das heißt, dass eine ausdrückliche Einwilligung der Nutzer in die Weiterverarbeitung ihrer Daten erforderlich ist. Für den Versand von Newslettern gilt sogar das sog. Double-Opt-in, d. h. die E-Mail-Adresse muss nicht nur aktiv eingetragen, sondern auch explizit von dem bezeichneten Account bestätigt werden.

Cookies ade? Privacy by Design und Default am Beispiel Cookie-Banner

Am Beispiel von Cookies lassen sich die beiden Prinzipien gut nachvollziehen. Hier gilt es zunächst grundsätzlich zwischen technisch notwendigen und nicht notwendigen Cookies zu unterscheiden:

  • Technisch notwendig sind grundsätzlich Cookies, die für die Darstellung der Website auf dem Browser des Nutzers erforderlich sind, aber z. B. auch solche, die beispielsweise zur Befüllung des Warenkorbs in einem Onlineshop benötigt werden. Für die Nutzung dieser Cookies braucht es keine aktive Einwilligung des Nutzers. In der Datenschutzerklärung muss aber in jedem Fall ein entsprechender Hinweis auf diese Cookies erfolgen.
  • Nicht notwendig sind hingegen in der Regel Cookies, mit deren Hilfe ein Onlineshop erfasst, von welcher Website aus ein Nutzer den Shop betreten hat und wohin er anschließend surft. Solche Cookies bedürfen einer expliziten Einwilligung des Nutzers.

Für Unternehmen, die nach den Maßgaben von Privacy by Design und Privacy by Default handeln, bedeutet das ganz konkret:

  • Sie müssen sich genau überlegen, welche Cookies für sie technisch notwendig sind und damit ohne gesonderte Einwilligung der Nutzer auskommen. Soweit möglich, sollen sie sich auf diese beschränken.
  • Sie müssen also entscheiden,
    • ob sie im Sinne der Datenminimierung auf nicht notwendige Cookies gänzlich verzichten (= Privacy by Design), mindestens aber
    • die explizite Einwilligung der Nutzer zur Verwendung dieser Cookies einholen (= Privacy by Default).

Wichtig: Ein vom Websitebetreiber vorausgefülltes Cookie-Banner reicht hierbei nicht. Ein bereits gesetztes Häkchen kommt keiner Einwilligung des Nutzers gleich. Das hat der Europäische Gerichtshof (EuGH) in einem Urteil vom Oktober 2019 entschieden, welches nun auch der Bundesgerichtshof (BGH) bestätigt hat.

Können Privacy by Design und Privacy by Default umgangen werden?

Grundsätzlich ist die DSGVO bindend. Missachtet ein Unternehmen die in Artikel 25 formulierten Prinzipien Privacy by Design und Privacy by Default, drohen hohe Geldbußen. Dem stehen potenziell hohe Geldsummen gegenüber, die Website-Betreiber mit Nutzerdaten verdienen können. Ein vermeintlich einfacher Ausweg besteht darin, bestimmte Leistungen von der Einwilligung des Nutzers in eine Datenverarbeitung abhängig zu machen. Doch dieser Ausweg ist eben nur „vermeintlich einfach“.

Derartigen Geschäften schiebt die DSGVO durch das sogenannte Kopplungsverbot nämlich einen Riegel vor. Dieses besagt, dass die Einwilligung des Nutzers „freiwillig“ zu erfolgen habe. Doch kann nicht auch ein Geschäft Leistung gegen Daten freiwillig erfolgen und legitim sein? Hier wird es spannend sein zu beobachten, welchen Rahmen der Gesetzgeber für dieses Geschäftsmodell zukünftig vorgibt.

Woher weiß ich, ob ein Unternehmen die Privacy-Prinzipien einhält?

Generell wird eine Website oder ein Programm als vertrauenswürdig eingeschätzt, wenn man sich nach der Durchsicht der Datenschutzerklärung gut informiert fühlt, wenn man verstanden hat, warum bestimmte Daten erhoben werden und an welche Dienste diese womöglich abfließen (z. B. an bestimmte Social-Media-Kanäle). Ist die Erklärung ellenlang, zu umständlich oder recht unverständlich, ist eher Vorsicht geboten.

Im Zuge der DSGVO mussten Unternehmen nicht nur neue Maßnahmen zur Wahrung der Privacy-Prinzipien ergreifen, sondern auch ihre Datenschutzerklärungen so formulieren, dass sie für jeden verständlich sind – auch ohne der Rechtssprache mächtig zu sein. Wer es als Anbieter schafft, diese wichtigen Informationen gebündelt und verständlich für Nutzer darzustellen, der hat sich mit ziemlicher Sicherheit um das Thema Datenschutz hinreichend Gedanken gemacht – und das deutet auf eine gewisse Vertrauenswürdigkeit hin.

Gleichwohl: Eine absolute Garantie, dass die Prinzipien Privacy by Design und Privacy by Default ausreichend umgesetzt sind, erhält man als User nur schwer.

Fazit

Die DSGVO verpflichtet Unternehmen dazu, den Schutz der Nutzerdaten zu wahren. Damit die Preisgabe von Informationen tatsächlich aus freien Stücken und nicht etwa wegen mangelnder Transparenz geschieht, muss nicht nur die Kommunikation, sondern auch die Technikgestaltung des Unternehmens von Grund auf datenschutzkonform sein.

Die Prinzipien Privacy by Design vs. Privacy by Default gewährleisten, dass Unternehmen schon bei der Entwicklung und dem Einsatz von Hard- und Software alle Datenschutzvorgaben berücksichtigen und die entsprechenden Voreinstellungen vornehmen, um personenbezogene Daten DSGVO-konform zu verarbeiten. Unternehmen, die dieses Thema ernst nehmen möchten, tun gut daran, sich von Anfang an Unterstützung durch erfahrene Datenschutzexperten zu sichern.

Sie haben Fragen zur Einhaltung der DSGVO oder suchen nach einem externen Datenschutzbeauftragten?

Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen:

Kostenlose Erstberatung vereinbaren

 

Über den Autor

Andreas Riehn Andreas Riehn
Andreas Riehn

Als Senior Consultant für Datenschutz betreut Andreas Riehn bei DataGuard Kunden von Medien- und Marketingunternehmen bis zum Autohandel. Schon in der Anfangsphase der Digitalisierung entdeckte der Volljurist das Potenzial der Informationstechnologie für sich. Nach seinem Jurastudium gründete und programmierte er 1997 das erste rein webbasierte Repetitorium für angehende Juristen: „Ohne zu wissen, was ein Mainboard ist. Von Computertechnik hatte ich einfach keine Ahnung, hat trotzdem funktioniert.“ Es folgten eine mehrjährige Tätigkeit als Manager für Marketingkommunikation sowie als Rechtsanwalt für die Bereiche IT und Datenschutz. Wenn er sich nicht mit Datenschutz, Big Data oder Machine Learning befasst, ist Andreas passionierter Autor und hat bereits einen Mystery-Thriller verfasst.

Mehr Artikel ansehen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren