Unser Service:

Privacy by Design & Default

Wir begleiten Sie bei der datenschutzkonformen Gestaltung Ihrer Systeme, Dienstleistungen, Produkte und Prozesse.

Warum Privacy by Design & Default wichtig für Ihr Unternehmen ist

Privacy by Design und Privacy by Default, also Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen, ist in Art. 25 der Datenschutzverordnung (DSGVO) festgelegt. 

Das bedeutet, dass der Datenschutz bereits in der Designphase über den gesamten Lebenszyklus einer Verarbeitungstätigkeit des Unternehmens integriert ist. Eine Verarbeitungstätigkeit kann ein Prozess, ein IT-System, ein Produkt oder eine Dienstleistung sein. Es geht also darum, Unternehmensaktivitäten datenschutzkonform zu gestalten und die Privatsphäre von Nutzern und Kunden durch die Wahl geeigneter technischer und organisatorischer Maßnahmen sowie geeigneter Voreinstellungen zu schützen.

Häufig wird "Privacy by Design & Default" nur auf Software und Hardware bezogen. Es ist jedoch ein Konzept, das auf alle Bereiche eines Unternehmens angewendet werden kann. Interne Prozesse, Veranstaltungen, Marketingaktivitäten, neue Dienstleistungen oder Produkte, IT-Systeme, Software, Hardware etc. sollten bei ihrer Einführung ebenfalls datenschutzkonform gestaltet werden.

Die Datenschutz-Grundverordnung sieht auch ein "Privacy by Design & Default" für den Datenschutzbeauftragten vor: Gemäß Art. 38 muss der für die Verarbeitung Verantwortliche sicherstellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle Angelegenheiten im Zusammenhang mit dem Schutz personenbezogener Daten einbezogen wird.

Was ist Privacy by Design?

Privacy by Design bedeutet "Datenschutz durch Technikgestaltung". Dieser Ansatz stellt sicher, dass der Datenschutz und der Schutz personenbezogener Daten bereits in der Entwurfsphase eines Prozesses berücksichtigt werden. Zu diesem Zweck müssen geeignete technische und organisatorische Maßnahmen (TOMs) getroffen werden.

Der Anwendungsbereich von "Privacy by Design" ist sehr weit gefasst: Eine datenschutzfreundliche Technikgestaltung sollte bereits bei der Entwicklung neuer Prozesse, Produkte, Dienstleistungen, IT-Systeme, der Entwicklung von Organisationsrichtlinien, Verfahren, Geschäftspraktiken, Unternehmensstrategien usw. berücksichtigt werden.

Was ist Privacy by Default?

Privacy by Default heißt übersetzt "Datenschutz durch datenschutzfreundliche Voreinstellungen". Dieses Konzept bedeutet, dass nur die Daten verarbeitet werden, die zur Erreichung des Zwecks notwendig sind. Zum Beispiel müssen in einer Software die Standardeinstellungen so gestaltet sein, dass nur die minimal erforderlichen Daten abgefragt oder verarbeitet werden. Zusätzliche Daten sollten nur mit Zustimmung der betroffenen Person erhoben werden, Daten sollten nicht automatisch an Dritte weitergegeben werden und es sollten ausreichende Kontroll- und Einstellungsmöglichkeiten vorhanden sein.

Das so genannte "Privacy Paradox" wird durch datenschutzfreundliche Voreinstellungen für die Nutzer verhindert. Studien haben ergeben, dass Menschen den Schutz ihrer Daten zwar grundsätzlich befürworten, aber selbst kaum Einstellungen vornehmen, um sie tatsächlich zu schützen. Indem dieser Prozess dem Nutzer abgenommen wird, wird eine datenschutzfreundliche Nutzung erreicht.

Wer ist verantwortlich für die Einhaltung von Privacy by Design & Default?

Für die Einhaltung der Datenschutzgrundverordnung ist in erster Linie der Verantwortliche im datenschutzrechtlichen Sinne, also die Geschäftsführung, zuständig.

Die Geschäftsleitung muss jedoch sicherstellen, dass alle Mitarbeiter des Unternehmens die Grundsätze des Datenschutzes berücksichtigen. So sollten beispielsweise Entwickler und Product Owner, also die Personen, die Systeme, Dienstleistungen oder Produkte entwickeln, interne Prozesse und Verfahren zur Sicherstellung der Datenschutzfreundlichkeit beachten.

Welche technischen und organisatorischen Maßnahmen (TOMs) kann ich ergreifen?

Die technischen und organisatorischen Maßnahmen (TOMs), die zur Einhaltung der Datenschutzgrundsätze eingeführt werden, variieren von Unternehmen zu Unternehmen, je nach Anwendung und Umständen.

Es ist wichtig, dass Datenschutzerwägungen von Anfang an berücksichtigt werden und dass geeignete TOMs eingeführt werden. Gemäß Art. 32 DSGVO müssen diese dem aktuellen Stand der Technik entsprechen, wobei die Implementierungskosten zu berücksichtigen sind. Bei der Auswahl der TOMs sollten auch Art, Umfang, Umstände und Zweck der Verarbeitung berücksichtigt werden.

Beispiele für TOMs, die Privacy by Design & Default gewährleisten:

  • Minimierung der Verarbeitung von personenbezogenen Daten in Systemen
  • Pseudonymisierung von Daten, wenn möglich
  • Verschlüsselung, z.B. Ende-zu-Ende-Verschlüsselung
  • Transparenz in Bezug auf die Verarbeitungsprozesse gegenüber den betroffenen Personen
  • Möglichkeit für die betroffenen Personen, eigene Einstellungen vorzunehmen
  • Ausübung des Widerspruchsrechts mit Hilfe automatisierter Verfahren
  • Einführung zusätzlicher Sicherheitsmerkmale, z. B. Benutzerauthentifizierung

Wie kann ich Privacy by Design & Default im gesamten Unternehmen umsetzen?

Als für die Datenverarbeitung Verantwortlicher sollte jede Geschäftsaktivität im Vorfeld daraufhin überprüft werden, wie sie mit passenden TOMs und datenschutzfreundlichen Grundvoraussetzungen umgesetzt werden kann.

Data Privacy by Design & Default ist keine einmalige Maßnahme, weshalb alle Prozesse, Systeme, Produkte und Dienstleistungen regelmäßig überprüft und gegebenenfalls angepasst werden sollten. Einige mögliche Ansatzpunkte für die Umsetzung in verschiedenen Bereichen des Unternehmens finden Sie hier:

  • Technische und organisatorische Maßnahmen
  • Auswahl neuer Software nur von datenschutzkonformen Anbietern und umfangreiche Überprüfung im Vorfeld
  • Datenschutzfreundliche Voreinstellungen in der eigenen IT-Infrastruktur
  • Produkte und Dienste mit datenschutzfreundlichen Voreinstellungen
  • Löschung von personenbezogenen Daten, wenn diese nicht mehr benötigt werden
  • Einbindung des Datenschutzbeauftragten vor Einführung eines neuen Verfahrens

Wir unterstützen Sie bei der Umsetzung von Privacy by Design & Default und der Einhaltung der DSGVO in allen Ihren Geschäftsprozessen.

Wir freuen uns darauf, Sie kennenzulernen.

    Ihre persönlichen Daten werden ausschließlich zur Bearbeitung Ihrer Anfrage genutzt. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

    Oder rufen Sie uns an

    +49 (0) 89 215 281 07

    Unsere Services
    als externer DSB

    Wir unterstützen Startups, kleine Unternehmen und Mittelständler als externer Datenschutzbeauftragter.

    Benennung als externer Datenschutzbeauftragter

    Für viele Unternehmen besteht die Pflicht, einen Datenschutzbeauftragten zu benennen. Gerne beraten wir Sie, ob dies auf Sie zutrifft.

    Datenschutz-Audit

    Als externer DSB führen wir mit Ihnen eine Risikoanalyse durch, um Lücken zu erkennen. Sie erhalten einen konkreten Maßnahmenplan mit praxisnahen Tipps.

    Mitarbeiterschulungen durch Ihren externen DSB

    Schulungen, E-Learning und Workshops für Mitarbeiter, Ableitungsleiter und Geschäfts-führung zu den Anforderungen des Datenschutzrechts.

    Datenschutzrechtliche Dokumentation

    Erfüllung der umfangreichen Dokumentationspflichten wie z.B. Verzeichnis der Verarbeitungstätigkeiten (VVT), technische und organisatorische Maßnahmen (TOM) etc.

    Datenschutz-Folgenabschätzung (DSFA)

    Wir beraten Sie als externer DSB bei der Durchführung einer DSFA. Diese Risikoanalyse ist in bestimmten Fällen vorgeschrieben.

    Regelmäßige Datenschutz-Updates

    Sie bleiben immer auf dem neuesten Stand über die aktuellsten Entwicklungen zum Thema Datenschutz und Informationssicherheit.

    Datenschutzerklärungen

    Erfüllung Ihrer Informations-pflichten gegenüber Webseiten-besuchern, Kunden, Mitarbeitern, Geschäftspartnern und Lieferanten.

    Privacy by Design & Default

    Wir begleiten Sie bei der datenschutzkonformen Gestaltung Ihrer Systeme, Dienstleistungen, Produkte und Prozesse.

    Datenschutzmanagement-system (DSMS)

    Gemeinsam mit Ihnen erstellen wir Ihr internes DSMS, das alle implementierten Regelungen, Prozesse, Dokumente und Maßnahmen umfasst.
    PrivacyPoint
    star-halffile-emptylicensebookchart-barsrocketredomagnifierpointer-right