Privacy by Design
Art. 25 DSGVO verpflichtet Verantwortliche, Datenschutz bereits bei der Konzeption von Systemen und Prozessen zu berücksichtigen (Privacy by Design) und datenschutzfreundliche Voreinstellungen zu implementieren (Privacy by Default), sodass standardmäßig nur notwendige personenbezogene Daten verarbeitet werden.
Ausführliche Erklärung
Art. 25 DSGVO konkretisiert zwei zentrale Datenschutzprinzipien, die seit dem 25. Mai 2018 rechtlich verpflichtend sind. Privacy by Design bedeutet, dass der Datenschutz bereits zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung und während der Verarbeitung selbst durch geeignete technische und organisatorische Maßnahmen sichergestellt werden muss. Die Verantwortlichen müssen dabei Stand der Technik, Implementierungskosten, Art und Umfang der Verarbeitung sowie die Risiken für die Rechte betroffener Personen berücksichtigen. Privacy by Default ergänzt diesen Ansatz durch die Forderung, dass Systeme standardmäßig nur jene personenbezogenen Daten verarbeiten dürfen, die für den jeweiligen Zweck erforderlich sind – dies betrifft Menge, Umfang, Speicherfrist und Zugänglichkeit der Daten.
Für KMU bedeutet dies konkret: Bei der Auswahl neuer Software, der Einführung digitaler Prozesse oder der Entwicklung eigener Anwendungen muss der Datenschutz von Anfang an mitgedacht werden, nicht erst nachträglich. Typische Maßnahmen umfassen Datenminimierung, Pseudonymisierung, Verschlüsselung, datenschutzfreundliche Voreinstellungen in IT-Systemen sowie klare Löschkonzepte. Anders als früher können Unternehmen Datenschutz nicht mehr ans Ende eines Projekts verschieben – er muss integraler Bestandteil der Planung sein.
Die Verantwortung für die Einhaltung liegt beim datenverarbeitenden Unternehmen selbst, nicht beim Softwarehersteller. Allerdings kann ein Verantwortlicher von Softwareanbietern verlangen, dass deren Produkte eine Umsetzung von Art. 25 DSGVO ermöglichen. Verstöße gegen Art. 25 DSGVO können nach Art. 83 Abs. 4 DSGVO mit Geldbußen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes geahndet werden. Die österreichische Datenschutzbehörde wendet diese Bußgeldregelungen unter Berücksichtigung der Verhältnismäßigkeit an und macht bei erstmaligen Verstößen häufig von Verwarnungen Gebrauch.
Praxisbeispiel
Eine oberösterreichische Steuerberatungskanzlei mit 12 Mitarbeitenden führt ein neues Klienten-Management-System ein. Statt einfach die Software mit Standardeinstellungen zu übernehmen, konfiguriert sie das System so, dass Mitarbeiter nur auf jene Mandantendaten zugreifen können, die sie für ihre konkrete Aufgabe benötigen. Freitext-Felder werden auf das Notwendigste beschränkt, automatische Löschfristen für alte Korrespondenz werden technisch implementiert, und die Weitergabe von Daten an Dritte ist standardmäßig deaktiviert und muss bewusst freigegeben werden. Diese Voreinstellungen stellen sicher, dass selbst bei Fehlbedienung keine unnötigen Daten erfasst werden.
Quellen
- Art. 25 GDPR – Data protection by design and by default - GDPR-info.eu
- Art. 25 DSGVO – Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
- Rechtsquellen - Österreichische Datenschutzbehörde
- EU-Datenschutz-Grundverordnung (DSGVO) - WKO Österreich
- Empfehlungen für Privacy by Design nach DSGVO - Computer Weekly