7 Tage, 7 Schritte in die richtige Richtung: Die neue EU-DSGVO - Privacy by Design als Basiskonzept (Tag 6)

Mon entreprise Publié le 14.05.2018
DSGVO

>Version française...

Datenschutz muss sichtbar, transparent, offen, dokumentiert und unabhängig nachweisbar sein

Das Konzept des Privacy by Design fordert die Sichtbarkeit der Datenschutzstandards für den Benutzer. Das bedeutet, Datenschutz muss transparent, offen, dokumentiert und unabhängig nachweisbar sein.

Diese neue Transparenz beinhaltet gleichzeitig, dass Datenschutzprozesse auch einer externen Überprüfung standhalten müssen – getreu dem Motto: Vertrauen ist gut, aber Kontrolle ist besser! Sichtbarkeit und Transparenz sind wesentlich zur Schaffung von Vertrauen und Verantwortlichkeit.

Die EU-DSGVO beinhaltet dazu grundlegende Forderungen basierend auf dem Privacy by Design Konzept:

Verantwortlichkeit: Die Sammlung von personenbezogenen Daten beinhaltet eine Sorgfaltspflicht für ihren Schutz und das, wie bereits beschrieben, über den gesamten Lebenszyklus. Die Verantwortlichkeit für alle datenschutzrelevanten Richtlinien und Verfahren muss dokumentiert und gegebenenfalls kommuniziert und in bestimmten Fällen einer bestimmten Person zugewiesen werden. Bei der Übermittlung personenbezogener Daten an Dritte, ist ein gleichwertiger Datenschutz durch vertragliche oder andere Mittel sicherzustellen.

Offenheit: Offenheit und Transparenz sind der Schlüssel zur Rechenschaftspflicht. Informationen über die Richtlinien und Praktiken im Zusammenhang mit der Verwaltung personenbezogener Daten, werden für den Benutzer leicht zugänglich gemacht.

Einhaltung: Es müssen für den Benutzer Beschwerde- und Rechtsbehelfsmechanismen eingerichtet und veröffentlicht werden. Dabei ist es notwendig auch hinter den Kulissen kontinuierlich die Überwachung, Evaluierung und Überprüfung der Einhaltung von Datenschutzrichtlinien zu überprüfen.

Die oben beschriebenen Punkte klingen doch allzu juristisch und es stellt sich die Frage : Wie kann ich in einem ersten Schritt diesen Forderungen auf meiner Website entgegenkommen?

Ein erster Schritt, der unternommen werden muss ist, sich eine sog. Privacy Policy bzw. Datenschutzerklärung zuzulegen. Obwohl heute einiges an Daten vermittelt wird, verfügen viele Apps und Websites noch nicht über eine Datenschutzerklärung. Das muss sich für viele bis zum 25. Mai 2018 ändern. Das bedeutet, dass zusätzlich zum Impressum eine DSGVO-konforme Datenschutzerklärung auf der Website einzurichten ist, die sich von jeder Unterseite aus erreichen lässt. Beim Erstellen einer solchen Privacy Policy können Online-Generatoren helfen (in den Quellen befindet sich ein DSGVO-konformes Beispiel).

Grob gesprochen, muss ein solches Dokument mindestens folgende Fragen beantworten:

  • Wer ich bin (Identität und Kontakt-Daten),
  • Welche Kategorien von persönlichen Daten die Website oder APP sammeln und verarbeiten will,
  • Warum die Datenverarbeitung notwendig ist (zu welchen genauen Zwecken),
  • Ob Daten an Dritte weitergegeben werden (nicht nur eine generische, sondern eine spezifische Beschreibung, an wen die Daten weitergegeben werden),
  • Welche Rechte Benutzer haben, in Bezug auf den Widerruf der Einwilligung und auf die Löschung von Daten.

Für den obigen Ansatz verwende ich gerne einen Begriff, der von Amber Case in einem ihrer Vorträge geprägt wurde, den MVPP – die Minimum Viable Privacy Policy bzw. kleinste lebensfähige Datenschutzerklärung.

Besonders der Punkt, ob und an welche Drittparteien Daten weitergegeben werden, ist sehr wichtig. Sollte sich die Situation ändern, muss diese Rubrik auf jeden Fall frühzeitig angepasst werden.

Doch gerade in Bezug auf die Datenschutzerklärung, kann man dem Benutzer noch einen wichtigen Schritt entgegenkommen, um auch so etwas wie eine Privacy User Experience (PUX) zu etablieren. Die Stichworte lauten hier vereinfachen und konsolidieren. Eine elegante Lösung ist es, mit einem Rechtsbeistand eine vollständige und eine einfache Version der Datenschutzerklärung zu erarbeiten. Ein solcher Ansatz könnte die bestehende Datenschutzerklärung z.B. um eine kurze Zusammenfassung ergänzen.

Die heutige Rubrik hat sich weniger mit der grafischen Umsetzung des Konzeptes auf Webseiten befasst, als viel mehr mit der Wahl der richtigen Worte und der Beantwortung wichtiger Fragen für den Benutzer. Worte sind eben auch ein essentieller Bestandteil jeden Designs.

Transparenz ist der entscheidende Punkt bei der Umsetzung der EU-DSGVO und im Prozess Private by Design zu erfüllen.


Weitere Informationen und Quellen
Online Datenschutz-Generator - Dr. Thomas Schwenke
Designing for Privacy in Mobile and Web Apps - Amber Case
Rechtssichere Internetseiten & Onlineshops - DSGVO-konform - Mittelstand 4.0-Kompetenzzentrums Saarbrücken
 
Was Sie auch interessieren könnte

 

 

 

 

 

 

 

 

 

 

 

> Zurück zur Artikelserie 7 Tage, 7 Schritte in die richtige Richtung: Die neue EU-DSGVO - Privacy by Design als Basiskonzept"

Partager / Teilen

  Haut de page