Privacy by Default – die Ergänzung zu Privacy by Design

Die Datenschutz-Grundverordnung verlangt, Technik datenschutzgerecht zu gestalten. Dies wird im Englischen als Privacy by Design bezeichnet. Die Voreinstellungen von Produkten und Verfahren sollen so gestaltet sein, dass sie die Grundprinzipien des Datenschutzes und der IT-Sicherheit von vornherein berücksichtigen.

Gemäß Art. 25 Abs. 2 DSGVO muss durch geeignete technische und organisatorische Maßnahmen sichergestellt werden, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden (und nicht darüberhinausgehende Daten) – Zweckbindungs- und Erforderlichkeitsgrundsatz. Diese Verpflichtung gilt für die

  • Menge der erhobenen personenbezogenen Daten,
  • den Umfang ihrer Verarbeitung,
  • ihre Speicherfrist und
  • ihre Zugänglichkeit.

Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.

Funktionen, die dieser Verpflichtung widersprechen (z. B. voreingestellte Einwilligungserklärungen im Zusammenhang mit dem Internetauftritt oder die automatische Weiterleitung zu sozialen Netzwerken), müssen vermieden bzw. deaktiviert werden.

Die Pflicht, Voreinstellungen so zu wählen, dass nur die personenbezogenen Daten verarbeitet werden, die zur Erfüllung des Zwecks erforderlich sind, wird – wie bereits erwähnt – im Englischen als Privacy by Default bezeichnet. So könnten beispielsweise standardmäßig datenschutzfreundliche Einstellungen im Browser gesetzt werden, die nicht verändert werden können bzw. dürfen.

Der Verantwortliche muss durch eine entsprechende Konfiguration der Produkte, Dienste etc. dafür sorgen, dass nur Daten verarbeitet werden, die für den Verarbeitungszweck erforderlich sind.

Verarbeitungszweck

Die Darstellung des Verhandlungszwecks erfordert eine Beschreibung der Verarbeitungstätigkeit. Dabei ist insbesondere auf folgende Punkte einzugehen:

  • Aufführung der verfolgten Zwecke
  • Darstellung des Ablaufs der Verarbeitungstätigkeit
  • Benennung der genutzten und erzeugten Daten
  • Beschreibung der technischen Ausgestaltung
  • Heranziehung des Verzeichnisses der Verarbeitungstätigkeiten
  • Abgrenzung, was kein Bestandteil der Prüfung ist
  • Ggf. Darstellung der Schnittstellen zu anderen Verarbeitungstätigkeiten

Rechenschaftspflicht

Der Verantwortliche ist gemäß Art. 5 Abs. 2 DSGVO für die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten des Art. 5 Abs. 1 DSGVO verantwortlich und muss dessen Einhaltung nachweisen können. Dazu zählt auch, dass der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen ergreifen muss, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung, Zweckbindung und Erforderlichkeit durch die Beachtung der Verpflichtung zur Privacy by Default wirksam umzusetzen. Gemäß Art. 25 Abs. 3 DSGVO kann ein genehmigtes Zertifizierungsverfahren im Sinne des Artikel 42 als Faktor herangezogen werden, um die Erfüllung dieser Anforderung nachzuweisen.

Sanktionen

Bei Verstößen gegen die Verpflichtung „Privacy by Default“ können Geldbußen gemäß Art. 83 Abs. 2 Buchst. d DSGVO verhängt werden. Diese Geldbußen können gemäß Art. 83 Abs. 4 Buchst. a DSGVO bis zu 10 Mio. Euro oder im Fall eines Unternehmens bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen, je nachdem, welcher der Beträge höher ist.