Das Wichtigste in Kürze

  • Nutzer genießen durch die Privacy-Prinzipien mehr Schutz.
  • Privacy by Design setzt voraus, dass schon bei der Entwicklung neuer Software das Thema Datenschutz umgesetzt wird.
  • Privacy by Default bezieht sich auf die Voreinstellungen von Hard- und Software, die im Sinne des Datenschutzes getroffen werden müssen.
  • Datenschutzerklärungen müssen jetzt so verfasst werden, dass alle Nutzer sie verstehen.
  • Auch für Cookies und Cookie-Banner spielen die Privacy-Prinzipien eine große Rolle.


In diesem Beitrag

Datenschutz ist längst nicht mehr nur Sache des Nutzers. Spätestens seit Wirksamwerden der DS-GVO werden Unternehmen beim Schutz der Nutzerdaten deutlich in die Pflicht genommen. Eine Datenschutzerklärung und ein Cookie-Banner auf der Website reichen da nicht mehr aus. Auch technisch muss der Datenschutz von Grund auf gewährleistet sein. Hier greifen die Prinzipien von Privacy by Design und Privacy by Default. Was sie besagen, erfahren Sie im Folgenden.

Privacy by Design vs. Privacy by Default: Wo ist der Unterschied?

Die Grundlagen von Privacy by Design und Privacy by Default bilden wesentliche Komponenten der Datenschutz-Grundverordnung (DS-GVO), wo sie in Artikel 25 ausdrücklich festgeschrieben sind. Dabei ist festzuhalten, dass Privacy by Design und Privacy by Default zwei Seiten derselben Medaille sind und nicht etwa Gegensätze.

Das DS-GVO-Konzept Privacy by Design oder auch „Datenschutz durch Technikgestaltung“ bedeutet, dass eine Softwarelösung (z. B. eine Website, eine Datenbank oder ein beliebiges Tool) mit der Intention entwickelt wird, die für ihren Betrieb benötigten Daten bestmöglich zu schützen. Das Thema Datenschutz wird also schon bei der Konzeption der Lösung mitbedacht.

Bei Privacy by Default greift der Datenschutz hingegen bei den Voreinstellungen von Diensten, Systemen oder Geräten. „Datenschutz durch datenschutzrechtliche Voreinstellungen“ lautet das Konzept. War es für Unternehmen und Behörden früher leicht möglich, durch entsprechende Voreinstellungen an personenbezogene Daten zu gelangen, haben nun die datenschutzfreundlichen Einstellungen Vorrang.

Wie profitieren Nutzer von Privacy by Design und Privacy by Default?

Durch die DS-GVO und ihre beiden Prinzipien Privacy by Design und Privacy by Default wird der Datenschutz bei Soft- und Hardware zum Standard. Für den Nutzer bedeutet das: Er hat die Kontrolle über seine Daten und entscheidet selbst, ob und welche Informationen er über sich preisgibt.

Welche Anforderungen sind mit den beiden Prinzipien verbunden?

Aus dem Prinzip Privacy by Design ergeben sich vereinfacht folgende Anforderungen:

  • Schon bei der Entwicklung bzw. Konzeption einer Software muss ein Unternehmen darauf achten, dass nur die absolut erforderlichen personenbezogenen Daten der späteren Nutzer erfasst werden. Wer z. B. ein Bewerbungstool entwickelt, sollte nur die für eine Bewerbung erforderlichen Daten wie Lebenslauf und Zeugnisse erfassen, aber nicht bereits die Steuer-ID oder Sozialversicherungsnummer, da diese erst bei einer Einstellung relevant werden. Absolut tabu sind besondere Kategorien wie Gewerkschaftszugehörigkeit oder politische Aktivitäten, da diese ohnehin nur mit wirksamer Einwilligung und grundsätzlich in keiner Phase des Beschäftigungsverhältnisses verarbeitet werden dürfen.
  • Wo möglich, sollten Daten pseudonymisiert oder anonymisiert erfasst werden – also ohne direkten Rückschluss auf einen konkreten Nutzer.
  • Ebenso sollte ein Unternehmen von Beginn an sicherstellen, dass die Erfassung, Verarbeitung und Speicherung von personenbezogenen Daten später regelmäßig überwacht wird.
  • Nicht zuletzt muss auch für die Möglichkeit der Löschung von nicht mehr benötigten Daten Sorge getragen werden.

Das Prinzip Privacy by Default bedeutet für Unternehmen vor allem:

  • Das sogenannte Opt-out, bei dem Nutzer explizit der Verwendung ihrer Daten zum Beispiel für Werbezwecke widersprechen müssen, genügt nicht.
  • Stattdessen gilt die Vorgabe des Opt-in, das heißt, dass eine ausdrückliche Einwilligung der Nutzer in die Weiterverarbeitung ihrer Daten erforderlich ist. Für den Versand von Newslettern gilt sogar das sog. Double-Opt-in, d. h. die E-Mail-Adresse muss nicht nur aktiv eingetragen, sondern auch explizit von dem bezeichneten Account bestätigt werden.


Anwendungsfall aus der Praxis: Cookies und Cookie-Banner unter den Maßgaben von Privacy by Design und Privacy by Default

Am Beispiel von Cookies lassen sich die beiden Prinzipien gut nachvollziehen. Hier gilt es zunächst grundsätzlich zwischen technisch notwendigen und nicht notwendigen Cookies zu unterscheiden:

  • Technisch notwendig sind grundsätzlich Cookies, die für die Darstellung der Website auf dem Browser des Nutzers erforderlich sind, aber z. B. auch solche, die beispielsweise zur Befüllung des Warenkorbs in einem Onlineshop benötigt werden. Für die Nutzung dieser Cookies braucht es keine aktive Einwilligung des Nutzers. In der Datenschutzerklärung muss aber in jedem Fall ein entsprechender Hinweis auf diese Cookies erfolgen.
  • Nicht notwendig sind hingegen in der Regel Cookies, mit deren Hilfe ein Onlineshop erfasst, von welcher Website aus ein Nutzer den Shop betreten hat und wohin er anschließend surft. Solche Cookies bedürfen einer expliziten Einwilligung des Nutzers.

Für Unternehmen, die nach den Maßgaben von Privacy by Design und Privacy by Default handeln, bedeutet das ganz konkret:

  • Sie müssen sich genau überlegen, welche Cookies für sie technisch notwendig sind und damit ohne gesonderte Einwilligung der Nutzer auskommen. Soweit möglich, sollen sie sich auf diese beschränken.
  • Sie müssen also entscheiden,
    • ob sie im Sinne der Datenminimierung auf nicht notwendige Cookies gänzlich verzichten (= Privacy by Design), mindestens aber
    • die explizite Einwilligung der Nutzer zur Verwendung dieser Cookies einholen (= Privacy by Default).

Wichtig: Ein vom Websitebetreiber vorausgefülltes Cookie-Banner reicht hierbei nicht. Ein bereits gesetztes Häkchen kommt keiner Einwilligung des Nutzers gleich. Das hat der Europäische Gerichtshof (EuGH) in einem Urteil vom Oktober 2019 entschieden, welches nun auch der Bundesgerichtshof (BGH) bestätigt hat.


Können Privacy by Design und Privacy by Default umgangen werden?

Grundsätzlich ist die DS-GVO bindend. Missachtet ein Unternehmen die in Artikel 25 formulierten Prinzipien Privacy by Design und Privacy by Default, drohen hohe Geldbußen. Dem stehen potenziell hohe Geldsummen gegenüber, die Website-Betreiber mit Nutzerdaten verdienen können. Ein vermeintlich einfacher Ausweg besteht darin, bestimmte Leistungen von der Einwilligung des Nutzers in eine Datenverarbeitung abhängig zu machen. Doch dieser Ausweg ist eben nur „vermeintlich einfach“.

Derartigen Geschäften schiebt die DS-GVO durch das sogenannte Kopplungsverbot nämlich einen Riegel vor. Dieses besagt, dass die Einwilligung des Nutzers „freiwillig“ zu erfolgen habe. Doch kann nicht auch ein Geschäft Leistung gegen Daten freiwillig erfolgen und legitim sein? Hier wird es spannend sein zu beobachten, welchen Rahmen der Gesetzgeber für dieses Geschäftsmodell zukünftig vorgibt.

Woher weiß ich, ob ein Unternehmen die Privacy-Prinzipien einhält?

Generell kann eine Website oder ein Programm als vertrauenswürdig eingeschätzt werden, wenn man sich nach der Durchsicht der Datenschutzerklärung gut informiert fühlt, wenn man verstanden hat, warum bestimmte Daten erhoben werden und an welche Dienste diese womöglich abfließen (z. B. an bestimmte Social-Media-Kanäle). Ist die Erklärung ellenlang, zu umständlich oder recht unverständlich, ist eher Vorsicht geboten.

Im Zuge der DS-GVO mussten Unternehmen nicht nur neue Maßnahmen zur Wahrung der Privacy-Prinzipien ergreifen, sondern auch ihre Datenschutzerklärungen so formulieren, dass sie für jeden verständlich sind – auch ohne der Rechtssprache mächtig zu sein. Wer es als Anbieter schafft, diese wichtigen Informationen gebündelt und verständlich für Nutzer darzustellen, der hat sich mit ziemlicher Sicherheit um das Thema Datenschutz hinreichend Gedanken gemacht – und das deutet auf eine gewisse Vertrauenswürdigkeit hin.

Gleichwohl: Eine absolute Garantie, dass die Prinzipien Privacy by Design und Privacy by Default ausreichend umgesetzt sind, erhält man als User nur schwer.

Fazit

Die DS-GVO verpflichtet Unternehmen dazu, den Schutz der Nutzerdaten zu wahren. Damit die Preisgabe von Informationen tatsächlich aus freien Stücken und nicht etwa wegen mangelnder Transparenz geschieht, muss nicht nur die Kommunikation, sondern auch die Technikgestaltung des Unternehmens von Grund auf datenschutzkonform sein.

Die Prinzipien Privacy by Design vs. Privacy by Default gewährleisten, dass Unternehmen schon bei der Entwicklung und dem Einsatz von Hard- und Software alle Datenschutzvorgaben berücksichtigen und die entsprechenden Voreinstellungen vornehmen, um personenbezogene Daten DS-GVO-konform zu verarbeiten. Unternehmen, die dieses Thema ernst nehmen möchten, tun gut daran, sich von Anfang an Unterstützung durch erfahrene Datenschutzexperten zu sichern.

Neue Beiträge die Sie interessieren könnten

Das Recht auf Vergessenwerden: Was steckt dahinter und funktioniert es wirklich?

Das Wichtigste in Kürze

  • Mit der DS-GVO wurden die Rechte von Betroffenen gestärkt. 
  • Das Recht...
Weiterlesen

Keine Daten mehr ins EU-Ausland: Was bedeutet das EuGH-Urteil Schrems II für Anwältinnen und Anwälte?

Das sogenannte Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) markiert eine Zäsur im...

Weiterlesen

Aktuelle Trends zu Bußgeldern im europäischen Datenschutz

Weiterlesen

Keine Beiträge mehr verpassen!

Möchten Sie zu Datenschutz und Datensicherheit auf dem Laufenden bleiben? Praktische Tipps und Einladungen zu Webinaren und Online-Fragestunden erhalten Sie über unser monatliches E-Mailing.

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

DataCo GmbH | Dachauer Str. 65 | D-80335 München