Privacy by Default/ Privacy by Design

Privacy by Default und Privacy by Design

Mit diesen zwei Trendbegriffen schreibt die DSGVO zwei technische Konzepte vor, welche von Ihrem Unternehmen jedenfalls zu beachten und zu implementieren sind: Datenschutz durch Voreinstellungen („Privacy by Default“) und Datenschutz durch Technik („Privacy by Design“). Das bedeutet, dass die IT-Systeme so eingestellt sein müssen, dass Datenschutzverstöße weitgehend schon durch die Programmierung vermieden werden. So dürfen beispielsweise „Checkboxes“ nicht automatisch so ausgefüllt sein, dass eine Zustimmung fingiert wird. Auch muss dafür Sorge getragen werden, dass beim Erfordernis der Zustimmung ein „Opt-In“ und kein „Opt-Out“ vorgesehen ist.

Um die angemessenen technischen und organisatorischen Maßnahmen durch Privacy by Default und Privacy by Design zu treffen, bildet das Erstellen des Verarbeitungsverzeichnisses eine wesentliche Voraussetzung. Hat man nämlich einmal die Voraussetzungen für die zulässige Verarbeitung von personenbezogenen Daten verinnerlicht, gestaltet sich die Abwägung leichter, welche Privacy by-Default und Privacy by Design-Maßnahmen zu ergreifen sind.

  • Dem Privacy by Default-Prinzip entsprechend sollte Ihr Unternehmen über eine Website verfügen, die geeignete Privatsphäre-Einstellungen für Ihre Nutzer bereitstellt. Dies kann sich dadurch äußern, dass im Onlinemarketing-Bereich und einer damit zusammenhängenden Onlinekontoregistrierung dem Nutzer die Möglichkeit gegeben wird, seine erteilte Einwilligung einzusehen und jederzeit zu entziehen. Letztlich ist ein System zu implementieren, das die Betroffenenrechte (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerruf, Einschränkung der Verarbeitung) sicherstellt. Das könnte beispielsweise durch die Bereitstellung eines Online-Formulars/E-Mail Adresse zur Kontaktaufnahme geschehen.
  • Schließlich ist dem Grundsatz des Privacy by Design-Prinzips insbesondere dann Genüge getan, wenn bei einer auf Einwilligung beruhender Datenverarbeitung die Einwilligung vor Aufnahme der Datenverarbeitung erfolgt.

<<< zurück zu Privacy Impact Assesment (PIA)                                                                        zurück zur Startseite>>>