Das Konzept des Privacy by Design fordert die Sichtbarkeit der Datenschutzstandards für den Benutzer. Das bedeutet, Datenschutz muss transparent, offen, dokumentiert und unabhängig nachweisbar sein.
Diese neue Transparenz beinhaltet gleichzeitig, dass Datenschutzprozesse auch einer externen Überprüfung standhalten müssen – getreu dem Motto: Vertrauen ist gut, aber Kontrolle ist besser! Sichtbarkeit und Transparenz sind wesentlich zur Schaffung von Vertrauen und Verantwortlichkeit.
Die EU-DSGVO beinhaltet dazu grundlegende Forderungen basierend auf dem Privacy by Design Konzept:
Verantwortlichkeit: Die Sammlung von personenbezogenen Daten beinhaltet eine Sorgfaltspflicht für ihren Schutz und das, wie bereits beschrieben, über den gesamten Lebenszyklus. Die Verantwortlichkeit für alle datenschutzrelevanten Richtlinien und Verfahren muss dokumentiert und gegebenenfalls kommuniziert und in bestimmten Fällen einer bestimmten Person zugewiesen werden. Bei der Übermittlung personenbezogener Daten an Dritte, ist ein gleichwertiger Datenschutz durch vertragliche oder andere Mittel sicherzustellen.
Offenheit: Offenheit und Transparenz sind der Schlüssel zur Rechenschaftspflicht. Informationen über die Richtlinien und Praktiken im Zusammenhang mit der Verwaltung personenbezogener Daten, werden für den Benutzer leicht zugänglich gemacht.
Einhaltung: Es müssen für den Benutzer Beschwerde- und Rechtsbehelfsmechanismen eingerichtet und veröffentlicht werden. Dabei ist es notwendig auch hinter den Kulissen kontinuierlich die Überwachung, Evaluierung und Überprüfung der Einhaltung von Datenschutzrichtlinien zu überprüfen.
Die oben beschriebenen Punkte klingen doch allzu juristisch und es stellt sich die Frage : Wie kann ich in einem ersten Schritt diesen Forderungen auf meiner Website entgegenkommen?
Ein erster Schritt, der unternommen werden muss ist, sich eine sog. Privacy Policy bzw. Datenschutzerklärung zuzulegen. Obwohl heute einiges an Daten vermittelt wird, verfügen viele Apps und Websites noch nicht über eine Datenschutzerklärung. Das muss sich für viele bis zum 25. Mai 2018 ändern. Das bedeutet, dass zusätzlich zum Impressum eine DSGVO-konforme Datenschutzerklärung auf der Website einzurichten ist, die sich von jeder Unterseite aus erreichen lässt. Beim Erstellen einer solchen Privacy Policy können Online-Generatoren helfen (in den Quellen befindet sich ein DSGVO-konformes Beispiel).
Grob gesprochen, muss ein solches Dokument mindestens folgende Fragen beantworten:
Für den obigen Ansatz verwende ich gerne einen Begriff, der von Amber Case in einem ihrer Vorträge geprägt wurde, den MVPP – die Minimum Viable Privacy Policy bzw. kleinste lebensfähige Datenschutzerklärung.
Besonders der Punkt, ob und an welche Drittparteien Daten weitergegeben werden, ist sehr wichtig. Sollte sich die Situation ändern, muss diese Rubrik auf jeden Fall frühzeitig angepasst werden.
Doch gerade in Bezug auf die Datenschutzerklärung, kann man dem Benutzer noch einen wichtigen Schritt entgegenkommen, um auch so etwas wie eine Privacy User Experience (PUX) zu etablieren. Die Stichworte lauten hier vereinfachen und konsolidieren. Eine elegante Lösung ist es, mit einem Rechtsbeistand eine vollständige und eine einfache Version der Datenschutzerklärung zu erarbeiten. Ein solcher Ansatz könnte die bestehende Datenschutzerklärung z.B. um eine kurze Zusammenfassung ergänzen.
Die heutige Rubrik hat sich weniger mit der grafischen Umsetzung des Konzeptes auf Webseiten befasst, als viel mehr mit der Wahl der richtigen Worte und der Beantwortung wichtiger Fragen für den Benutzer. Worte sind eben auch ein essentieller Bestandteil jeden Designs.
Transparenz ist der entscheidende Punkt bei der Umsetzung der EU-DSGVO und im Prozess Private by Design zu erfüllen.