Privacy by Design & Privacy by Default

Das Prinzip der datenschutzfreundlichen Technik (Privacy by Design und Privacy by Default) dient der Erhöhung der Datensicherheit der von einer Datenerhebung betroffenen Person. Die Datenschutzgrundverordnung (DSGVO) legt dieses Datenschutzprinzip als Schutzmaßnahme personenbezogener Daten in Art. 25 Abs. 1 DSGVO (Privacy by Design) und Art. 25 Abs. 2 DSGVO (Privacy by Default) fest.

Der Schutz der personenbezogenen Daten soll zum einen schon bei Entwicklung eines Datenverarbeitungssystems erreicht werden (Privacy by Design). Zum anderen sollen durch geeignete Voreinstellungen nur die absolut notwendigen Datenverarbeitungen mit der eingesetzten Technik getätigt werden (Privacy by Default).

Die Pflicht, diese zwei Prinzipien umzusetzen, gilt für jeden Verantwortlichen, der eine Software einsetzt bzw. nutzt. Das heißt, wenn ein Unternehmen beispielsweise einen Auftrag zur Erstellung einer mobilen Applikation erteilt, muss es dafür Sorge tragen, dass der Auftragnehmer sich bereits bei der Programmierung nach den Prinzipien Privacy by Design und Default richtet. Tut es dies nicht, droht ein Bußgeld von bis zu 10 Millionen Euro oder bis zu 2% des gesamten Jahresumsatzes des vergangenen Geschäftsjahres.

Doch eine Umsetzung der Prinzipien kann nicht nur ein Bußgeld verhindern, sondern auch tatsächliche Vorteile für ein Unternehmen generieren. Sofern bereits im Vorhinein die Prinzipien Privacy by Design und by Default berücksichtigt werden, muss nicht im Nachhinein eine ggf. kostspielige Anpassung des Systems erfolgen.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz