Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Navigation und Service

Data Protection by Design

Wird der Datenschutz bereits bei der Konzipierung und Entwicklung von Hard- und Software zur Datenverarbeitung berücksichtigt, spricht man von „Data Protection by Design“ (Datenschutz durch Technikgestaltung).

zwei Kreise der innere mit Datenschutz und Schlosssymbol, der äußere mit 8 digitalen Symbolen
Quelle: ©Sikov - stock.adobe.com

Warum Data Protection by Design?

Angesichts des rapiden und dramatischen technologischen Wandels gilt es, die besonderen Erfordernisse des Datenschutzes bereits zu einem frühen Zeitpunkt zu berücksichtigen, da neue technologische Systeme oftmals versteckte Gefahren bergen, die sich nur schwer beseitigen lassen, wenn die Grundkonzeption erst einmal feststeht. Daher ist es sinnvoll, etwaige Datenschutzprobleme schon bei der Entwicklung neuer Technologien festzustellen und zu prüfen und den Datenschutz von vorneherein in die Gesamtkonzeption einzubeziehen, anstatt Datenschutzprobleme im Nachhinein mühsam und mit viel Zeitaufwand durch Korrekturprogramme zu beheben.

 

Was ist der Unterschied zu Privacy by Design?

Insbesondere im internationalen (außereuropäischen) Bereich wird statt Data Protection by Design häufig der Begriff Privacy by Design verwendet. Obwohl die beiden Begriffe häufig synonym verwendet werden sind sie bei genauerer Betrachtung nicht gleichbedeutend.

Während „Privacy by Design“ vor allem den Schutz der Privatsphäre meint und damit vor allem darauf zielt, dass bestimmte Datenverarbeitungen überhaupt nicht stattfinden, umfasst „Data Protection by Design“ auch solche Datenverarbeitungen, die tatsächlich stattfinden und auch legitim sind. Auch diese Verarbeitungen müssen so gestaltet werden, dass die Anforderungen an den Schutz der verarbeiteten personenbezogenen Daten erfüllt sind.

 

Wie wird Data Protection by Design in der Praxis umgesetzt?

Unternehmen und Organisationen sind nach Artikel 25 DSGVO angehalten, zum frühestmöglichen Zeitpunkt der Gestaltung von Verarbeitungsvorgängen technische und organisatorische Maßnahmen zu treffen, die darauf ausgelegt sind, die Privatsphäre zu schützen und Datenschutzgrundsätze von Beginn an zu garantieren. Solche Maßnahmen könnten unter anderem darin bestehen, dass

  • die Verarbeitung personenbezogener Daten minimiert wird
  • personenbezogene Daten so schnell wie möglich anonymisiert werden
  • Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird
  • der betroffenen Person ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen
  • der Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern

Europäischer Datenschutzausschuss (EDSA): Guidelines 4/2019 on Article 25 Data Protection by Design and by Default (PDF englisch)