Datenschutz durch Technik im Rahmen der DS-GVO

Data Protection by Design / Data Protection by Default

Im Artikel „Die Penetrationstests nach der DS-GVO“ haben wir bereits darauf hingewiesen, dass die Verpflichtungen zur Gewährleistung der IT-Sicherheit durch die DS-GVO im Vergleich zum BDSG erheblich an Bedeutung gewonnen haben.

Der Grundgedanke, den technischen Datenschutz in IT-Systeme zu integrieren, ist allerdings nicht ganz neu. Im Erwägungsgrund 46 der Richtlinie 95/46 der Europäischen Union wird bereits darauf verwiesen, dass sowohl zum Zeitpunkt der Planung eines Verarbeitungssystems als auch zum Zeitpunkt der Durchführung der Verarbeitung, geeignete technische und organisatorische Maßnahmen zu treffen sind, um insbesondere die Sicherheit zu gewährleisten.

So sind in § 9 BDSG und den entsprechenden Anlagen bereits die Anforderungen in Bezug auf die Implementierung geeigneter technischer und organisatorischer Maßnahmen (kurz: TOMs) mit konkreten Verpflichtungen in Form von „9 Geboten“ enthalten.

Mit Art. 32 DS-GVO werden diese Verpflichtungen neu definiert, mit der Zielsetzung, ein angemessenes Schutzniveau durch die Implementierung geeigneter TOMs unter Berücksichtigung

  • des Stands der Technik
  • der Implementierungskosten
  • der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie
  • der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die persönlichen Rechte und Freiheiten

zu gewährleisten.

Neben der Neustrukturierung und der Konkretisierung bzw. Verfeinerung von bisherigen Bestimmungen ist neu, dass sich gemäß DS-GVO die TOMs auch nach dem Zweck der Verarbeitung, sowie nach dem Stand der Technik zu richten haben. Zudem ist künftig gemäß Art. 32 Abs. 1 DS-GVO bei der Planung und Umsetzung von TOMs das von dem Datenverarbeitungsverfahren ausgehende Risiko zur Beeinträchtigung von Persönlichkeits- und Freiheitsrechten zu berücksichtigen und das eventuell vorhandene Risiko mittels einer Datenschutz-Folgenabschätzung vor Inbetriebnahme der Verfahren zu bewerten.

Mit Art. 25 DS-GVO werden die Vorgaben an TOMs um die folgenden neuen Anforderungen erweitert.

Data Protection by Design

Data Protection by Design (Datenschutz durch Technikgestaltung) bedeutet, dass bereits bei der Planung und Entwicklung von IT-Systemen die Ziele des Datenschutzes und der Datensicherheit zu berücksichtigen sind, mit der Intention, dass die zu entwickelnden bzw. einzuführenden Datenverarbeitungsprozesse schon „von Haus aus“ datenschutzfreundlich sind. Dies kann beispielsweise dadurch erreicht werden, dass bestimmte Datenverarbeitungen verhindert oder zumindest sicher ausgestaltet werden. Bereits bei der Herstellung sollten demnach die technischen Möglichkeiten, wie die Aktivierung bzw. Deaktivierung von Funktionalitäten, die Anonymisierung und Pseudonymisierung, die Authentisierung und Authentifizierung oder Verschlüsselungen berücksichtigt werden.

Im Ergebnis sind IT-Systeme derart herzustellen, dass sie einerseits die Sicherheit sowie die Privatsphäre der Nutzenden schützen und andererseits den Anwendenden die Kontrolle über die eigenen Informationen bzw. Daten geben. 

Data Protection by Default

Nach dem Grundsatz der Datenvermeidung und Datensparsamkeit sind Datenverarbeitungssysteme an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Mit Data Protection by Default (datenschutzfreundliche Voreinstellungen) wird deshalb die Absicht verfolgt, dass sich IT-Systeme durch Voreinstellungen auf das zur Erfüllung des Vertragszwecks erforderliche Maß beschränken und dementsprechend nur diejenigen personenbezogenen Daten verarbeitet werden, die für den verfolgten Zweck auch erforderlich sind. Wesentliche Elemente der Datensparsamkeit sind die Trennung personenbezogener Identifizierungsmerkmale und der Inhaltsdaten, die Verwendung von Pseudonymen und Anonymisierung sowie die Löschung personenbezogener Daten sobald diese zur Erreichung des verfolgten Zwecks nicht mehr benötigt werden.

Außerdem sollten eventuell erforderliche Einwilligungen erst dann eingeholt werden, wenn diese auch tatsächlich benötigt werden und die weitere Datenverarbeitung sollte ohne erteilte Einwilligung technisch unterbunden sein.

Was ist gesondert zu beachten?

Neben den bereits erwähnten Art. 32 DS-GVO und Art. 25 DS-GVO findet man weitere Vorgaben für die Entwicklung bzw. Einführung von IT-Systemen u.a. in den Art. 38 Abs. 1 DS-GVO („Einbindung des Datenschutzbeauftragten“), Art. 35 DS-GVO („Datenschutz-Folgenabschätzung“) oder auch Art. 36 DS-GVO („Vorherige Konsultation der Aufsichtsbehörde“).

Eine wertvolle Orientierungshilfe zur Umsetzung der oben genannten Verpflichtungen bieten die grundlegenden Prinzipien von Ann Cavoukian, die sie bereits in den 90er Jahren unter der Bezeichnung „Privacy by Design“ aufgestellt hat. Diese sind:

  1. Proaktiv, nicht reaktiv als Vorbeugung und nicht als Abhilfe
  2. Datenschutz als Standardeinstellung („Privacy by Default“)
  3. Der Datenschutz ist in das Design eingebettet
  4. Volle Funktionalität – eine Positivsumme, keine Nullsumme
  5. Durchgängige Sicherheit – Schutz während des gesamten Lebenszyklus
  6. Sichtbarkeit und Transparenz – Für Offenheit sorgen
  7. Die Wahrung der Privatsphäre der Nutzer – Für eine nutzerzentrierte Gestaltung sorgen

Fazit

Die im Mai 2018 in Kraft tretende DS-GVO fordert „Datenschutz durch Technikgestaltung“. Die Ziele des Datenschutzes müssen also künftig schon beim Design eines Systems berücksichtigt werden, mit dem Ziel, neben der Sicherheit auch die Privatsphäre zu erhöhen. Betroffene Unternehmen sind deshalb gut beraten, sich bereits jetzt mit den künftigen Datenschutz- und Sicherheitsanforderungen intensiv auseinanderzusetzen, insbesondere vor dem Hintergrund möglicher Sanktionsmaßnahmen gemäß Art. 83 DS-GVO in Form von Bußgeldern in Höhe von bis zu EUR 10.000.000 bzw. von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs (sofern höher).

Sind Sie im Rahmen von Entwicklungen oder Einführungen neuer IT-System mit dem Thema „Datenschutz durch Technik“ konfrontiert? Sprechen Sie uns an! Gerne unterstützen wie Sie bei der Ausgestaltung der Details.