Mon entreprise

7 Tage, 7 Schritte in die richtige Richtung: Die neue EU-DSGVO - Privacy by Design als Basiskonzept (Intro)

  • Publié le 14.05.2018
DSGVO

>Version française...

Am 25. Mai 2018 ist es soweit und die EU-Datenschutz-Grundverordnung (kurz EU-DSGVO) tritt in Kraft.
Laut Artikel 25 der Verordnung muss zukünftig von Anfang an und bei jedem Schritt in sämtlichen Prozessen, Systemen und Produkten das Thema Datenschutz berücksichtigt werden.


Artikel 25 nennt das Privacy by Design.

Aber was genau ist damit gemeint? Dieser Frage geht der Autor den nächsten 7 Tagen nach und erklärt die wesentlichen Grundprinzipien.

Dabei dreht es sich nicht um die Architektur von Computersystemen oder Geschäftsprozessen. Nein, der Autor der Serie beleuchtet das Thema aus Sicht des Benutzers einer Website.

Aus Benutzersicht beginnt nämlich der wahrnehmbare Datenschutz im Internet, an der Schnittstelle zwischen Mensch und Maschine – dem Userinterface – also dem sichtbaren Teil eines Internetauftritts, der Website.

Gerade an dieser Schnittstelle lässt sich schon einiges tun, um Privacy by Design umzusetzen.


Jetzt aber zur Sache! Was ist eigentlich Privacy by Design und wo kommt es überhaupt her?

Das Konzept wurde im Jahre 1990 in Kanada entwickelt. Die Erfinderin und Initiatorin, Dr. Ann Cavoukian, damals Datenschutzbeauftragte von Ontario, adressierte damit das Problem, dass sich Software-Entwickler erst nach Abschluss eines Projekts um das Thema Datenschutz im System kümmerten:

„Das Privacy by Design - Framework verhindert Datenschutzverletzungen, bevor sie auftreten. Das Konzept Privacy by Design wartet nicht darauf, dass Datenschutzrisiken auftreten, es bietet auch keine Lösungen an, um Datenschutzverletzungen zu beheben sobald diese aufgetreten sind; Privacy by Design soll verhindern, dass sie auftreten. Kurz gesagt, Privacy by Design greift vor und nicht nach dem Vorfall.“ (Dr. Ann Cavoukian)


Das oben erwähnte Privacy by Design-Framework umfasst sieben grundlegende Prinzipien:

  1. Datenschutz muss proaktiv sein, nicht reaktiv. Datenschutzproblemen muss vorgebeugt werden, bevor sie überhaupt den Benutzer erreichen. Vorbeugung statt Abhilfe.
  2. Datenschutz muss Standardeinstellung sein. Ein Benutzer sollte keine Maßnahmen ergreifen müssen, um seine Privatsphäre zu schützen.
  3. Datenschutz muss als Kernfunktion in das Design eingebettet sein, kein Add-On.
  4. Volle Funktionalität bei voller Datensicherheit. Privacy by Design steht für das Gleichgewicht zwischen Privatsphäre und Sicherheit.
  5. Datenschutz muss einen durchgängigen Schutz der Benutzerdaten bieten, während des gesamten Lebenszyklus der Daten.
  6. Datenschutzstandards müssen sichtbar, transparent, offen, dokumentiert und unabhängig nachweisbar sein und auch einer externen Überprüfung standhalten.
  7. Datenschutz muss benutzerorientiert sein. Dies bedeutet, den Nutzern granulare Datenschutzoptionen, maximierte Datenschutzvorgaben, detaillierte Datenschutzhinweise, benutzerfreundliche Optionen sowie klare Benachrichtigung über Änderungen zu bieten.

Soweit zu den Grundlagen. In den folgenden Tagen wird der Autor die einzelnen Punkte anhand von Beispielen verdeutlichen und versuchen, dem Leser einen kurzen Leitfaden an die Hand zu geben, Privacy by Design auf den eigenen Internetauftritt zu übertragen.

Hinweis: Die Serie soll kein verbindlicher juristischer Ratgeber sein und sollte auch nicht als solcher ausgelegt werden, sondern das Thema Privacy by Design anschaulich verdeutlichen und die Umsetzung dadurch vereinfachen.

Autor: Seit über 15 Jahren arbeitet Henning Fries als UX Architect, Usability Engineer, Conceptioner, Entwickler und Webdesigner. Seine Erfahrung teilt er mittlerweile regelmäßig auch als Trainer und Redner auf internationalen Konferenzen. Seine Begeisterung für gut recherchierte, ideenreiche, benutzerzentrierte Konzepte, Produkte und Lösungen, erstreckt sich von der digitalen Plattform über Web- und Desktop- bis hin zur mobilen Anwendung. Besonderer Fokus seiner Arbeit liegt auf den Synergieeffekten zwischen grafischer Benutzerschnittstelle und der Wahrung der Privatsphäre des Internetbenutzers.

Weitere Informationen und Quellen
Privacy by Design - Eine Einführung - Kommissar für Information und Datenschutz von Ontario
Überblick über die EUDSGVO - Europäische Kommission

Protection des données personnelles - Chambre des Métiers
Infoblatt - Erste Schritte in Richtung EU-Datenschutz-Grundverordnung - Chambre des Métiers