Was ist Privacy by Design?

Was Datenschutz durch Design für Unternehmen bedeutet

Datenschutz

In den vergangenen Jahrzehnten hat sich die ganze Welt rasant weiterentwickelt, was die Digitalisierung angeht. Die Folge ist ein immer höher werdendes Aufkommen von Daten. Daten, die übermittelt, verarbeitet und gespeichert werden müssen.

Damit dabei ausreichend Sicherheit für Unternehmen und Verbraucher gegeben ist, wurde 2016 die EU-weite Datenschutz-Grundverordnung (kurz DSGVO) in Kraft gesetzt. Da die Digitalisierung aber nicht Halt gemacht hat und mit den Jahren immer neue Anforderungen stellt, wird die DSGVO immer weiter ausgearbeitet. So kam 2023 eine neue Norm zum Thema Privacy by Design hinzu. Hier erfahren Sie, was es mit der Privacy by Design auf sich hat und wie es sich auf deutsche Unternehmen auswirkt.

Anzeige

Was ist Privacy by Design?

Unter dem Begriff verbirgt sich ein ganzes Konzept, wie mit dem Datenschutz umgegangen werden sollte. Es gibt grundlegend zwei Wege, wie der Datenschutz implementiert werden kann. Zum einen kann es ein fertiges Produkt oder eine Dienstleistung geben, bei der die für den Datenschutz wichtigen Aspekte nachträglich integriert werden.

Beim Datenschutz durch Design ist das aber anders. Hier wird schon bei der Entwicklung des Produkts auf die gesetzlichen Datenschutzmaßnahmen geachtet. Das heißt, dass die Privatsphäre und der Datenschutz der Nutzer schon bei der Entwicklung im Fokus stehen sollen. Dabei kann es sich um Produkte aus allen Branchen handeln. Egal, ob es um den Online-Einzelhandel, smarte und miteinander vernetzte Technologien oder Fitnessanbieter geht. Gemäß dem Privacy-by-Design-Ansatz wird der Datenschutz schon bei der Planung des Angebots und der technischen Infrastruktur berücksichtigt.

Die ISO 31700

Anzeige

Die Abkürzung ISO steht für die International Organization for Standardization, welche durch die Vorgabe von Normungen dafür sorgt, dass Dinge in allen möglichen Bereichen des Alltags oder Geschäftswesens vereinheitlicht werden. Die ISO-Norm 31700 ist zweiteilig (31700-1 und 31700-2) und bezieht sich auf den Artikel 25 aus der DSGVO. Dieser behandelt die Implementierung ausreichender technischer Sicherheitsvorkehrungen zum Datenschutz.

ISO 31700-1

Der erste Teil der Norm 31700 enthält allgemeine Anleitungen und Hinweise. Diese sind nicht als genaue Anforderungen zu verstehen, sondern geben Unternehmen eher allgemeine Handlungsanweisungen mit auf den Weg. Da der Verbraucher im Mittelpunkt stehen soll, spielt er auch in den Hinweisen der ISO-Norm eine wichtige Rolle. Gefordert sind nämlich unter anderem:

  • Funktionen, die bei der Durchsetzung der Datenschutzrechte der Verbraucher helfen.
  • Transparenz: Die Unternehmen sollen offen damit umgehen, welche Daten verarbeitet werden. Insbesondere, wenn es sich um personenbezogene Daten und sensible Daten handelt. Auch die Maßnahmen, die zum Datenschutz ergriffen werden, sollten transparent kommuniziert werden. Das schließt nicht nur ein, dass entsprechende Erklärungen abrufbar sind, sondern auch, dass diese problemlos verstanden werden können. Auch von Menschen, deren Muttersprache vielleicht nicht Deutsch ist.

Weiterhin werden aber auch Maßnahmen beschrieben, die Unternehmen beachten sollten, um die Verarbeitung von Daten möglichst gewissenhaft zu gestalten. Die Anforderungen sind für Unternehmen zwar nicht bindend, repräsentieren aber eine Firmenphilosophie, die sowohl auf Unternehmens- als auch Verbraucherseite Vorteile bringt. Ein gutes Compliance-Management mit Zentrierung auf den Nutzer verbessert das Verhältnis beider Parteien und schafft im Idealfall ein erhöhtes Vertrauen. Daraus ergeben sich folgende Aspekte, die gemäß der ISO 31700-1 beherzigt werden sollten:

  • Direkte Integration: Der Datenschutz sollte schon bei der Planung und Entwicklung der technischen Architektur des Angebots einbezogen werden. Nur so kann eine rundum reibungslose Implementierung gelingen, die den Nutzern von Anfang an den größten Schutz bietet.
  • Proaktive Maßnahmen: Die gesamte Norm zielt darauf ab, dass Sicherheitsaspekte schon bei der Entwicklung einbezogen werden. Zum proaktiven Ansatz gehört auch, dass mögliche Datenschutzrisiken durch fortlaufende Risikokontrollen früh identifiziert und verhindert werden. Den Risiken soll zuvor gekommen werden, anstatt sie erst zu beheben, wenn der Schaden bereits eingetreten ist.
  • Hohe Standards: Der Datenschutz soll keinen Mehraufwand für die Nutzer bedeuten. Die Dienstleistungen sollten von Anfang an die höchsten Datenschutzstandards erfüllen, ohne dass die Nutzer erst bestimmte Datenschutz-Einstellungen vornehmen müssen. Ein Beispiel: Ortungsdienste, die nicht zwangsläufig für die Dienstleistung einer Webseite erforderlich sind, sollten nicht standardmäßig aktiviert sein.
  • Durchgängige Sicherheit: Die Daten der Verbraucher müssen für die gesamte Zeit gesichert sein. Das gilt für den gesamten Lebenszyklus des Produkts oder der Dienstleistung, von der Erfassung der Daten bis zu ihrer Löschung.

ISO 31700-2

Spezifischer wird es dann im zweiten Teil. Die ISO 31700-2 macht das Ganze anschaulich und erklärt die Anforderungen anhand von spezifischen Beispielen aus dem Einzelhandel, dem Fitnessbereich und smarten Technologien, bei denen verschiedene Geräte miteinander vernetzt werden. Auch im Smarthome gibt es nämlich gewisse Datenschutz-Risiken. Die Norm beschreibt, welche Anforderungen in der Praxis an die jeweiligen Systeme gestellt werden müssen, um den Datenschutz der Verbraucher zu jedem Zeitpunkt zu sichern. Das umfasst die Verschlüsselung der Daten, Umsetzungen für die nötigen Zugriffskontrollen und die Anonymisierung der Daten.

Die Beispiele berücksichtigen aber auch direkt die transparente Kommunikation der Vorgänge an den Verbraucher durch klare Datenschutzhinweise.

Die Bedeutung von Datenschutz durch Design für deutsche Unternehmen

Da sich deutsche Unternehmen im Raum des EU-Rechts befinden, müssen sie die entsprechenden rechtlichen Vorgaben der DSGVO befolgen. Die beschriebene ISO 31700 stellt für deutsche Unternehmen kein Hindernis dar, sondern hilft dabei, die Vorschriften umzusetzen und die DSGVO Compliance zu gewährleisten. Sie bietet einen praktischen Leitfaden, der schon bei der Entwicklung des Produkts hilft, die nötigen Vorkehrungen zu treffen. Neben dem ganz grundlegenden Vorteil, keine Vorschriften zu brechen, bietet der Datenschutz durch Design noch weitere Vorzüge für deutsche Unternehmen.

Organisation

Unternehmen haben in der Regel mit ganz verschiedenen Kategorien von Daten zu tun. Eine gut durchdachte Implementierung der Datenspeicherung und des Datenschutzes hilft, die Organisation und die Verarbeitung der Daten praktikabel zu gestalten. Das schützt zum einen vor Verlust und macht die Verarbeitung effizienter.

Positionierung im Markt

Für die Unternehmen gibt es nichts Wichtigeres als ein gutes Ansehen bei den Nutzern und Kunden. Diesen ist es wichtig, dass ihre Daten ausreichend geschützt werden. Eine klare Kommunikation über die Verarbeitung und die Sicherung der Daten schafft Vertrauen, welches sich für Unternehmen bezahlt machen kann. Wenn sie den Datenschutz nicht nur als lästige Pflicht sehen, die mit minimalem Engagement erledigt werden kann, werden die Nutzenden das zu schätzen wissen.

Kostenreduzierung

Von Anfang an auf eine technische Architektur mit hohen Sicherheitsstandards zu setzen, kann das Unternehmen auf Dauer eine Menge Kosten sparen. Zum einen, weil Risiken schon im Vorhinein ausgeschlossen werden können. Ist ein Schaden erst einmal angerichtet, verursacht die Behebung neue Kosten. Hinzu kommt die negative Auswirkung auf den Ruf des Unternehmens. Durch die Einhaltung der Vorschriften lassen sich auch in Bezug auf mögliche Strafzahlungen unnötige Kosten vermeiden. Im Jahr 2024 wurden in Europa insgesamt stolze 1,2 Milliarden Euro an Strafzahlungen fällig.

Nahtlose Zusammenarbeit

Die ISO-Normen, die darauf abzielen, Vorgänge zu standardisieren, erleichtern insbesondere international agierenden Unternehmen das Leben. Innerhalb der EU sind alle Unternehmen an die gleichen Auflagen gebunden. Durch diese Vereinheitlichung, wie Daten verarbeitet werden, können internationale Geschäftsabläufe reibungslos vonstattengehen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Fazit

Der Ansatz Datenschutz durch Design bietet Vorteile für alle Seiten. Indem Unternehmen direkt bei der Entwicklung Ihrer Produkte und Dienstleistungen darauf achten, dass Abläufe transparent und sicher für die Nutzenden ablaufen, können Sie Risiken und Kosten reduzieren. Die neue ISO-Norm bietet mit ihren 30 Anforderungen eine gute Basis für den Datenschutz. Nicht nur handeln Dienstleister damit gemäß der DSGVO, sondern schaffen  auch ein Umfeld der Sicherheit und Transparenz, was von Verbrauchern positiv wahrgenommen wird. Sie werden dem Dienstleister mehr Vertrauen entgegenbringen. Den Datenschutz auffällig gut zu gestalten, kann für Unternehmen einen echten Wettbewerbsvorteil gegenüber der Konkurrenz bedeuten.

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.