Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung

DSGVO-Gazette #13: EDPB veröffentlicht Leitlinien zu Privacy by Design und Privacy by Default

Die "Guidelines 4/2019 on Article 25 Data Protection by Design and by Default" (DPbDD), oder übersetzt Leitlinien 4/2019 zu Artikel 25 (DSGVO) Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen, wurden letzte Woche veröffentlicht. Was klingt wie ein Zungenbrecher sind unverbindliche Empfehlungen des Europäischen Datenschutzausschusses, um sich als Softwareentwickler und Diensteanbieter dem sperrigen und abstrakten Regelungen des Artikel 25 zu näher.

Die gute Nachricht zuerst: Es sind allesamt nur Beispiele, Hinweise, Empfehlungen und unverbindliche Tipps. Der noch aus dem Entwurf der Leitlinien hervorgehende harte Kurs des EDPB, absoluten Datenschutz an allen Ecken und Enden zu fordern, wurde (glücklicherweise) nicht durchgezogen.

Die Leitlinien definieren zu Beginn Begriffe, die sonst immer gut waren für 3 Stunden Stammtischgespräch, z. B. Was ist eigentlich "state of the art" beziehungsweise "Stand der Technik"? Wenn das bei ihrem Stammtisch nicht Thema ist, lesen Sie einfach weiter...

"Stand der Technik" in a nutshell

"Stand der Technik " wird nicht nur in Artikel 32 der DSGVO für Sicherheitsmaßnahmen sondern auch in Artikel 25 thematisiert. Somit wird dieser Maßstab auf alle technischen und organisatorischen Maßnahmen der Verarbeitung ausgedehnt, nicht nur auf die, welche die "Sicherheit der Verarbeitung" betrefffen. Die Leitlinien beschreiben den "Stand der Technik" als ein dynamisches Element des Datenschutzes. Stand der Technik ist nicht statisch zu einem festen Zeitpunkt, sondern muss laufend im Kontext des technologischen Fortschritts bewertet werden.

Umgekehrt bedeutet das, dass die Vernachlässigung des technologischen Fortschritts zu einer Nichteinhaltung (non-compliance) von Artikel 25 führt. Bleiben Sie also mit Datenschutz am Ball - denn "Non-Compliance" sollten Sie angesichts von drohenden Bußgeldern vermeiden. Nur wie weit muss ich hier gehen? Muss ich das ganze Budget auf Datenschutz und nichts in Funktionalität stecken? Das beantworten die Ausführungen zu den "Implementierungskosten.

"Implementierungskosten" in a nutshell

Der für die Verarbeitung Verantwortliche soll laut Leitlinien "bei der Auswahl und Anwendung geeigneter technischer und organisatorischer Maßnahmen und notwendiger Garantien, mit denen die Grundsätze wirksam umgesetzt werden, um die Rechte der betroffenen Personen zu schützen, die Kosten der Umsetzung berücksichtigen". Kosten beziehen sich auf Ressourcen im Allgemeinen, einschließlich Zeit und Personal. Beachten Sie aber bitte, dass die Kosten für die Umsetzung ein Faktor sind, der bei der Umsetzung des "eingebauten Datenschutzes" berücksichtigt werden muss - Kosten sind kein Grund, Datenschutz überhaupt nicht umzusetzen.

Weitere Begriffsbestimmungen der Leitlinien beziehen sich auf die Art, den Umfang, den Kontext und den Zweck der Verarbeitung oder die Risiken, die von einer Verarbeitung ausgehen.

Nach dem Begriffsbestimmungen geht es ans Eingemachte mit der Antwort auf die Frage: Wie setze ich mit DPbDD eigentlich die Datenschutzprinzipien um? Erstes Datenschutzprinzip ist die Transparenz. Entscheiden Sie selber, ob Sie dieser Anforderung an die Transparenz gewachsen sind - vor dem Hintergrund, dass alle Formulierungen auch rechtlich einwandfrei sein müssen ...

Transparenz

Anhand einer Datenschutzerklärung für eine Internetseite erklärt das EDPB die Anforderungen an die Transparenz.

Dabei wird festgehalten, dass die Datenschutzerklärung "keine langatmigen Informationen enthalten" soll, die für die durchschnittliche betroffene Person schwer zu durchdringen und zu verstehen sind. Sie sollte in einer klaren und prägnanten Sprache verfasst sein und es dem Nutzer der Internetseite leicht machen, zu verstehen, wie seine personenbezogenen Daten verarbeitet werden.

Dazu bietet sich laut Leitlinie eine "mehrschichtige Art und Weise" an, wobei die wichtigsten Punkte hervorgehoben werden und detailliertere Informationen leicht zugänglich gemacht werden. Dropdown-Menüs und Links zu anderen Seiten sollen im Rahmen dessen zur Verfügung gestellt werden, um die verschiedenen Punkte und Konzepte, die in der Richtlinie verwendet werden, weiter zu erklären.

Der Anbieter der Internetseite sollte dafür sorgen, dass "die Informationen mehrkanalig zur Verfügung gestellt werden, indem er Videoclips zur Verfügung stellt, um die wichtigsten Punkte der schriftlichen Informationen zu erläutern". Die Synergie zwischen den verschiedenen Seiten ist wichtig, um sicherzustellen, dass der mehrschichtige Ansatz die Verwirrung nicht verstärkt, sondern eher reduziert.

Die Datenschutzrichtlinien sollten für die betroffenen Personen nicht schwer zugänglich sein. Daher wird die Datenschutzerklärung auf allen Seiten der betreffenden Website zur Verfügung gestellt und sichtbar gemacht, so dass die betroffene Person immer nur einen Mausklick davon entfernt ist, die Informationen abzurufen. (Persönliche Meinung des Autors: Ich dachte eben noch, dass das ganze mehrschichtig sein soll - wie denn jetzt?).

Nicht ganz verstanden habe ich bisher diesen Satz: "The  information  provided  is  also  designed  inaccordance with the best practices and standards of universal design to make it accessible to all." Was hat das noch mit einer Datenschutzerklärung zu tun?

Weitere Anforderungen an die Transparenz erspare ich Ihnen - Lesen Sie gerne selber ab Seite 16 weiter.

Fazit

Neben der Transparenz finden sich natürlich zu allen Datenschutzgrundsätzen (lawfulness, fairness, purpose limitation, data minimisation, accuracy, storage limitation, integrity and confidentiality sowie accountability) Regelbeispiele und Empfehlungen, um Datenschutz im Sinne von datenschutzfreundlicher Technikgestaltung und entsprechenden Voreinstellungen zu implementieren. Mit insgesamt 31 Seiten eng bedruckten Portable Document Format (ausschließlich in Englisch) sind diese Leitlinien alles andere als leichte Kost.

Der Europäische Datenschutzausschuss führt am Ende zusammen, dass der Artikel 25 DSGVO die Schwelle der Anforderungen für kleine und mittlere Unternehmen (KMU) nicht senkt. KMU sollten frühzeitige Risikobewertungen durchführen und dabei mit "kleinen" Verarbeitungen beginnen - und später den Umfang und die Komplexität erweitern. Achten Sie als KMU auf Garantien von Herstellern für die Einhaltung der DSGVO, lesen Sie die Leitfäden der Datenschutzbehörden und des EDPB und vor allen:

Holen Sie sich professionelle Hilfe und Beratung! Alleine macht das keinen Sinn.

Haben Sie Fragen zu Datenschutz? Wollen Sie Datenschutz implementieren und die Kosten im Griff haben? Dann melden Sie sich!

Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz & Informationssicherheit
Bad Aachen

Photo by William Iven on Unsplash