Privacy by Design: Was bedeutet das und welche Relevanz hat es für die DSGVO?

Gillian Loones
By: Gillian Loones DSGVO | 7 Dezember

Mit Datenschutz zu arbeiten kann ziemlich überwältigend und verwirrend sein. Seit der Einführung der DSGVO wurde alles noch komplexer. In diesem Blogbeitrag erörtere ich eine Denkweise, die Ihnen das Koordinieren Ihrer Bemühungen rund um Privatsphäre, Datenschutz und die DSGVO erleichtern könnte – Privacy by Design. Nach der Lektüre dieses Beitrags sollten Sie eine allgemeine Vorstellung davon haben, was Privacy by Design ist, welchen Bezug es zur DSGVO hat und wie es selbst den kleinsten Unternehmen helfen kann, ihre Anstrengungen im Bereich Privatsphäre und Datenschutz zu verbessern.

Was ist Privacy by Design?

Privacy by Design wurde anfangs nur in der Software- und Systementwicklung verwendet. Dort bedeutet es, dass Datenschutzmaßnahmen in das Design von Systemen eingebaut werden. Auf diese Weise sind der Schutz von Privatsphäre und Daten Kernfunktionen des Systems, zusätzlich zu dem, wofür das System in erster Linie konzipiert wurde. 

Wir können dies leicht von der Softwareentwicklung auf einen breiteren Kontext, wie etwa Ihr Unternehmen, übertragen. Für Unternehmen bedeutet Privacy by Design, dass bei jedem neuen Prozess oder jeder neuen Tätigkeit Datenschutz und Privatsphäre bereits in den frühen Planungsphasen berücksichtigt werden sollten. Mit anderen Worten: Berücksichtigung des Datenschutzes bei der Gestaltung neuer Prozesse = Privacy by Design. 

Der Gedanke dahinter ist, dass der Schutz der Daten und der Privatsphäre Ihrer Kund*innen ein Ziel sein sollte, das Sie immer genauso anstreben wie Ihre geschäftlichen Ziele. Durch den Einsatz von Privacy by Design sind die Daten und die Privatsphäre Ihrer Kund*innen stets geschützt und die Kontrolle über diese Daten bleiben immer bei den nutzenden Personen, die Ihre Zustimmung jederzeit widerrufen können. 

Warum ist Privacy by Design auch für kleinere Unternehmen wichtig?

Die Gestaltung Ihrer Systeme und Prozesse auf diese Weise mag zunächst unnötig erscheinen, bringt jedoch viele Vorteile mit sich. Anders als der Name vermuten lässt, können Sie in kleinen Schritten auf Privacy by Design in Ihrem Unternehmen hinarbeiten und recht schnell von den Vorteilen profitieren. Es ist nicht notwendig, alles auf einmal radikal zu überarbeiten! 

Hier sind einige der Vorteile von Privacy by Design:

  • Es stärkt den Datenschutz in Ihrem Unternehmen und reduziert die Wahrscheinlichkeit von Datenschutzverstößen.

  • Sie zeigen Ihren Kund*innen, dass Sie ihre Privatsphäre zu schätzen wissen und verantwortungsvoll mit ihren Daten umgehen, was zu einer vertrauensvolleren Beziehung führt.

  • Es eignet sich dazu, Ihr Unternehmen zukunftssicher zu machen. Wir können mit ziemlicher Sicherheit davon ausgehen, dass der behördliche Druck, aber auch der Druck von Seiten der Verbraucher*innen auf strenge Datenschutzkontrollen in Zukunft zunehmen wird. Wenn Sie jetzt damit beginnen, Ihr Unternehmen für Datenschutz zu rüsten, verhindert dies, dass Sie zu einem ungünstigen Zeitpunkt in der Zukunft gezwungen sind, radikalere und kostspieligere Änderungen vorzunehmen.

  • Bedrohungen der Cybersicherheit ändern sich ständig und schnell. Durch den Aufbau einer soliden Datenschutzgrundlage in Ihren Systemen und Prozessen minimieren Sie die Zeit und die Ressourcen, die Sie aufwenden müssen, um auf die sich ständig ändernden Risiken im Bereich Daten und Privatsphäre zu reagieren.

  • Privacy by Design ist Teil der DSGVO. Daher kann die Implementierung von Privacy by Design eine große Hilfe bei der Einhaltung der DSGVO sein.

 

Smart CTA_e-book DE

 

Privacy by Design in der DSGVO

Auf die Grundlage des Konzepts „Privacy by Design“ führt Artikel 25 der DSGVO „Datenschutz nach Technikgestaltung“ und „Datenschutz durch datenschutzfreundliche Voreinstellungen“ ein. Nachfolgend erkläre ich beide Konzepte mit kurzen Auszügen aus Artikel 25. Den kompletten Artikel können Sie hier lesen.

Datenschutz durch datenschutzfreundliche Voreinstellungen

Datenschutz durch datenschutzfreundliche Voreinstellungen wird folgendermaßen beschrieben: 

  • „Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.“

  • „Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.“

Mit anderen Worten: Unternehmen sollten nur diejenigen Daten erfassen, die zur Erfüllung ihres Zwecks unbedingt erforderlich sind. Auch wenn ein*e Nutzer*in nichts unternimmt, sollten deren Daten geschützt und Privatsphäre gewahrt bleiben. 

 

Beispiel – Cookie-Hinweis

 

Stellen Sie sich den üblichen Cookie-Hinweis vor. Viele von uns ignorieren ihn oder klicken ihn einfach so schnell wie möglich weg. Wenn Datenschutz die Voreinstellung ist, sollte dies bedeuten, dass nur die unbedingt erforderlichen Cookies aktiviert sind. Wenn ein*e Benutzer*in nichts unternimmt, bedeutet dies, dass die Standardsituation (maximaler Datenschutz) nicht geändert werden sollte. Weitere Cookies sollten nur dann aktiviert werden, wenn ein*e Nutzer*in ihnen ausdrücklich zustimmt. 

Manche Websites aktivieren jedoch automatisch alle Cookies. Wenn man den Cookie-Hinweis wegklickt, akzeptiert man alle Cookies von Dritten. Dies ist kein Datenschutz durch datenschutzfreundliche Voreinstellungen. 

Datenschutz durch Technikgestaltung

Datenschutz durch Technikgestaltung wird als „die notwendigen Garantien in die Verarbeitung aufzunehmen“ beschrieben. Mit anderen Worten: Alle Datenschutzmaßnahmen und -garantien müssen von vornherein in das Datenverarbeitungssystem integriert werden.

Bezüglich der Umsetzung ist die DSGVO recht vage ...

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen sind rechtliche Verpflichtungen im Rahmen der DSGVO. Momentan können wir jedoch feststellen, dass nicht viele Bußgelder nach der DSGVO für die Nichtumsetzung von Privacy by Design verhängt wurdenwas darauf hindeutet, dass die Notwendigkeit von Privacy by Design nicht streng durchgesetzt wird. 

Das bedeutet jedoch nicht, dass man sich nicht darum kümmern sollteWie bereits gesagt, bringt Privacy by Design dem eigenen Unternehmen viele Vorteileund die örtlichen Datenschutzbehörden könnten jederzeit beschließen, diese Regelung strenger durchzusetzenWie fängt man also mit Privacy by Design an? 

Erste Schritte mit Privacy by Design

 geeignete technische und organisatorische Maßnahmen” 

Leider ist Artikel 25 recht kurzgehalten und bietet außer „geeignete technischen und organisatorischen Maßnahmen“ und zwei Beispielen (Pseudonymisierung und Datenminimierung) kaum Anhaltspunkte dafür, was genau „geeignete Maßnahmen“ sein könnten. 

Glücklicherweise tragen alle Maßnahmen, die Sie bereits zur Verbesserung Ihres Datenschutzes getroffen haben, wahrscheinlich auch zu Privacy by Design bei. Wir haben außerdem bereits betont, dass kleine Schritte in Richtung Privacy by Design durchaus vernünftig und für die meisten Unternehmen der beste Weg nach vorn sind – es gibt also keinen Grund, entmutigt oder eingeschüchtert zu sein. 

Wir haben schon einmal versucht, anhand von bereits verhängten Bußgeldern im Rahmen der DSGVO zu klären, was „geeignete Maßnahmen“ sein könnten. Das lässt sich hier nachlesen.

Die 7 Grundprinzipien von Privacy by Design

Eine konkretere Orientierungshilfe bietet das ursprüngliche Konzept von Privacy by Designdas erstmals 2009 von Ann Cavoukian, der damaligen Datenschutzbeauftragten von Ontario (Kanada), formuliert wurdeSie entwickelte die Grundprinzipien von Privacy by Design.

Die 7 Prinzipien sind: 

  1. Proaktiv statt reaktiv; präventiv statt abhelfend 

  2. Datenschutz als Voreinstellung 

  3. In das Design eingebetteter Datenschutz 

  4. Volle Funktionalität – Positivsumme, nicht Nullsumme 

  5. End-to-End-Sicherheit – Schutz über den gesamten Lebenszyklus 

  6. Sichtbarkeit und Transparenz – Offenheit wahren 

  7. Achtung der Privatsphäre der Nutzer – Nutzerzentriertheit wahren 

Im Folgenden gehen wir kurz auf jedes dieser Prinzipien ein und verbinden sie jeweils mit ersten Schritten zu „geeigneten technischen und organisatorischen Maßnahmen“. 

1. Proaktiv statt reaktiv; präventiv statt abhelfend

Das erste Prinzip legt die allgemeine Denkweise fest, die bei allen Grundsätzen beibehalten werden sollte. Datenschutz und Privatsphäre sollten am Anfang des Planungsprozesses für alle neuen Initiativen im Unternehmen stehen. 

Man sollte immer bestrebt sein, Problemen mit dem Datenschutz und Datenschutzverletzungen vorzubeugen, anstatt auf sie zu reagieren, wenn sie auftreten. 

Eine Möglichkeit, dies zu tun, ist die Durchführung einer regelmäßigen Risikoanalyse, bei der potenzielle Risiken für den Schutz der Privatsphäre und der Daten sowie deren Auswirkungen auf das Unternehmen ermittelt werden. Anschließend kann man Datenschutzmaßnahmen ergreifen, bevor es zu negativen Auswirkungen kommt, was diese im Wesentlichen verhindert. 

Wir haben eine nützliche Vorlage für eine Risikoanalyse entwickelt, mit der eine proaktive Ermittlung von Risiken im Unternehmen eingeleitet werden kann. 

2. Datenschutz als Voreinstellung

Alle IT-Systeme und -Prozesse in Ihrem Unternehmen müssen so konzipiert sein, dass Privatsphäre und Daten automatisch geschützt sind. Wenn eine einzelne Person keine Handlung unternimmt, sollte nur ein Minimum an Daten über sie gesammelt werden, und ihre Privatsphäre sollte geschützt bleiben (wie im Beispiel mit dem Cookie-Hinweis). 

Einfach ausgedrückt: Der Normalzustand in Ihrem Unternehmen sollte sein, dass Sie überhaupt keine Daten sammeln. Wir wissen jedoch alle, dass es dann sehr schwierig wäre, ein Unternehmen zu führen. Die Erfassung einiger Daten ist daher gerechtfertigt, solange sie einen klaren Zweck verfolgt. 

Sie sollten sich genau überlegen, welche Art von Daten Sie brauchen, um Ihre Geschäftsziele zu erreichen. Achten Sie beim Erfassen dieser Daten auf Folgendes:  

Ein praktischer Leitfaden ist die Datenminimierung, zu der Sie hier mehr lesen können.

3. In das Design eingebetteter Datenschutz

Dieser Grundsatz besagt, dass Datenschutz und Sicherheit bei der Entwicklung neuer Prozesse oder Aktivitäten genauso wichtig sein sollten wie die angestrebten Geschäftsziele. 

Man könnte eine gefundene Sicherheitslücke auch wie einen Konstruktionsfehler betrachten. Einen Konstruktionsfehler, der das Geschäftsergebnis beeinträchtigt, würde man nicht einfach flicken. Wenn man Datenschutz also als etwas betrachtet, das genauso wichtig ist wie das Geschäftsergebnis, würde man eine Sicherheitslücke auch nicht einfach flicken. Vielmehr muss man zurück ans Reißbrett und den Prozess oder das System so gestalten, dass eine solche Schwachstelle gar nicht erst entstehen kann. 

4. Volle Funktionalität – Positivsumme, nicht Nullsumme

Dieses Prinzip hängt mit dem zusammen, was wir bereits besprochen haben: Datenschutz und Sicherheit sollten genauso wichtig sein wie Geschäftsziele. Das bedeutet, dass es keinen Sinn macht, Sicherheitsmaßnahmen nach der Entwicklung eines neuen Prozesses einzuführen. Dadurch würde sich Sicherheit eher wie ein nachträglicher Einfall anfühlen. Das Ergebnis ist, dass die Sicherheitsmaßnahmen ziemlich lästig sein können und man versuchen könnte, sie zu umgehen, weil es effizienter ist, als sie einzuhalten. 

Dieser Grundsatz soll dies verhindern. Hier geht es darum, dass Datenschutz nicht zu Lasten anderer Ziele wie Effizienz oder Funktionalität gehen darf. 

Wenn man sich von Anfang an mit Datenschutz und Sicherheit befasst, können solche falschen Dilemmas überwunden werden, um eine Win-Win-Situation zu schaffen - Datenschutz und Effizienz, Datenschutz und Funktionalität. 

Doch wie lässt sich dies konkret umsetzen? Die Idee wäre, dass die für den Datenschutz verantwortliche Person oder das entsprechende Team stärker in die Konzeption einbezogen wird, damit sich leichter an den Geschäftszielen eines Systems oder Prozesses orientiert werden kann.  

Anstatt also einen Arbeitsablauf zu entwerfen und ihn dann beispielsweise an die IT-Abteilung zu übergeben, damit diese prüft, ob er sicher genug ist, empfiehlt es sich, von Anfang an eine*n Mitarbeiter*in der IT-Abteilung einzubeziehen. 

5. End-to-End-Sicherheit – Schutz über den gesamten Lebenszyklus

Dieser Grundsatz umfasst wiederum ausdrücklich einige Dinge, die wir bereits kennenDatenschutzmaßnahmen werden proaktiv umgesetzt, bevor die ersten Informationen gesammelt werden, und werden während des gesamten Lebenszyklus der Daten aufrechterhalten, bis die Daten am Ende des Prozesses fristgerecht und sicher vernichtet werden. 

Lebenszyklus von Daten?

Bei der Arbeit mit (personenbezogenen) Daten ist es oft sinnvoll, in Form eines Datenlebenszyklus zu denken. Kurz gesagt: Dadurch können Sie überlegen, wie Ihre Daten in den verschiedenen Phasen ihres "Lebens" verwendet werden, einschließlich der Erstellung, Speicherung, Verarbeitung, Archivierung und Vernichtung von Daten. 

Das bedeutet im Grunde, dass der Datenschutz in jeder Phase des Lebenszyklus standardmäßig angewendet werden sollte. So sollten zum Beispiel Sicherheitsmaßnahmen wie Verschlüsselung, Authentifizierung, Protokollierung usw. in jeder Phase eingesetzt werden. 

Zusammen mit den vorgenannten Grundsätzen bedeutet dies Folgendes: 

  • Es werden nur unbedingt erforderliche Daten gesammelt, jedes Mal mit einem eindeutig kommunizierten Zweck.

  • Die Daten werden nur so lange aufbewahrt, wie es für die Erfüllung des Zwecks erforderlich ist.

  • Die Daten werden sicher gespeichert und verarbeitet, z. B. durch Verschlüsselung, strenge Zugangskontrolle und Protokollierungsmethoden.

  • Die Daten werden sicher gelöscht, sobald sie zur Erfüllung des Zwecks nicht mehr erforderlich sind.

6. Sichtbarkeit und Transparenz – Offenheit wahren

Dieser Grundsatz ist recht eindeutig. Man sollte gegenüber Personen, von denen man Daten sammelt, offen und transparent sein, auch darüber, welche Daten zu welchem Zweck erfasst werden, wie sie verarbeitet werden und wie der Schutz dieser Daten gewährleistet wird. Die Betroffenen sollten auch klar über ihre Rechte und Möglichkeiten informiert werden, Fragen zu stellen, Beschwerden einzureichen oder ihre Daten löschen zu lassen. 

Im Wesentlichen geht es darum, eine klare und verständliche Datenschutzerklärung zu haben, auf die sich Kund*innen im Zweifelsfall leicht beziehen können. Wir haben einen praktischen Leitfaden und eine Vorlage entwickelt, die Ihnen beim Verfassen einer guten Datenschutzerklärung helfen. Diese finden Sie hier.

7. Achtung der Privatsphäre der Nutzer*innen – Nutzerzentriertheit wahren

Dieser letzte Grundsatz soll uns daran erinnern, worum es uns in erster Linie geht – den respektvollen Umgang mit den Daten und der Privatsphäre unserer Kund*innen. 

Daher empfiehlt es sich, bei der Gestaltung von Systemen und Verfahren zur Datenverarbeitung stets die Interessen der individuellen Nutzer*innen im Auge zu behalten. Sie sollten klar und benutzerfreundlich gestaltet sein und den Nutzer*innen eindeutige Datenschutzvorgaben, angemessene Hinweise und einen klaren Überblick über die gesammelten Daten bieten.  

Kurz gesagt: Systeme und Verfahren müssen so gestaltet werden, dass die Nutzer*innen ihre Daten selbst aktiv verwalten können oder sich ihrer Daten zumindest bewusst sind. 

Das bedeutet auch, zu wissen, dass die nutzenden Personen immer die Eigentümer*innen ihrer Daten bleiben. Letztendlich leiht sich Ihr Unternehmen die Daten der Kund*innen nur aus. Kund*innen sollten ihre Zustimmung dazu jederzeit widerrufen können.  

Damit kommen wir auf das zurück, was wir bereits besprochen haben: Zeigen Sie Ihren Kund*innen, dass Sie den Wert ihrer Privatsphäre kennen und darauf achten, ihre Daten verantwortungsvoll zu nutzen. Machen Sie ihnen klar, dass sie Ihnen vertrauen können. 

Konkrete Maßnahmen zur Umsetzung von Privacy by Design

Ich hoffe, Sie haben nun ein tieferes Verständnis dafür, was Privacy by Design und Datenschutz durch Technikgestaltung bzw. durch datenschutzfreundliche Voreinstellungen zu erreichen versuchen, und warum Sie diese Denkweise auch in Ihrem Unternehmen schrittweise anwenden sollten. 

Sehen wir uns nun einige dieser „geeigneten technischen und organisatorischen Maßnahmen“ an, die zur Umsetzung der Grundsätze in der Praxis verwendet werden können. Wir haben bereits einige besprochen, beispielsweise die regelmäßige Durchführung einer Risikoanalyse, die Datenminimierung und das Verfassen einer klaren Datenschutzerklärung. 

Bedenken Sie, dass niemand von Ihnen erwartet, dass Sie von Anfang an ein Experte im Bereich Privacy by Design sind. Es sollte jetzt klar sein, dass durch kleine Schritte und Maßnahmen bereits viel erreichen kann. So kann schon die Arbeit mit einer oder wenigen der unten aufgeführten Maßnahmen viel zum Schutz des Datenschutzes in Ihrem Unternehmen beitragen. Es gibt allerdings noch viel mehr Maßnahmen als nur die, die wir hier besprechen. 

Formalisierte Verpflichtung des Managements zum Schutz von Privatsphäre und Daten

Explizitere Einbeziehung des Schutzes von Privatsphäre und Daten z. B. in das Leitbild, die Werte und die internen Richtlinien Ihres UnternehmensDie Formalisierung dieser Verpflichtung ist der erste Schritt auf dem Weg zu ihrer Umsetzung. Ein Teil davon ist die Ausarbeitung einer klaren Informationssicherheitsrichtlinie und einer Richtlinie zur akzeptablen Nutzung. Wir haben Leitfäden und Vorlagen für beides entwickelt

Ernennung eines Teams oder einer Person, die für den Schutz von Privatsphäre und Daten verantwortlich ist

Dies könnte zum Beispiel ein Datenschutzbeauftragter (DSB) seinEs ist dann auch wichtig, dass sowohl den Mitarbeiter*innen als auch den Kund*innen und Partner*innen klar mitgeteilt wird, wer dies ist und wie diese Person kontaktiert werden kann. 

Bereitstellung eines zentralen Datenschutzportals für Kund*innen

Bereitstellung eines leicht auffindbaren Ortes, an dem die Kund*innen alle ihre Privatsphäre- und Dateneinstellungen auf klare und benutzerfreundliche Weise verwalten könnenAllzu oft sind die Einstellungen zum Schutz von Privatsphäre und Daten nur schwer zu finden oder über verschiedene Einstellungsmenüs verteilt. 

Klare Kommunikation und Dokumentation der Gründe und Rechtfertigungen für die Datenerfassung

Transparenz bei der Datenerfassung und -verarbeitung bedeutet, dass für jede von Ihnen gesammelte Information klar dokumentiert und mitgeteilt werden sollte, zu welchem Zweck und aus welchen rechtlichen Gründen sie erhoben wird und von welchen Personen oder Prozessen die Daten verarbeitet werden. 

Vermeidung von Dark Patterns

Benutzerorientiertes und benutzerfreundliches Design bedeutet auch, dass Dark Patterns vermieden werden solltenSo sollte Ihr Cookie-Hinweis beispielsweise eine deutlich gekennzeichnete Ablehnungsoption enthalten, die der Option „Akzeptieren“ gleichwertig ist. Sie sollten niemanden dazu verleiten, mehr Daten preiszugeben, als er bereitwillig zustimmen würde. 

Sicherstellung eines korrekten und sicheren Umgangs mit Daten durch Ihre Mitarbeiter*innen

Umsetzung von Maßnahmen, die verhindern, dass Mitarbeiter*innen Daten für einen anderen als den dokumentierten Zweck verwenden oder Datenschutzrichtlinien nicht befolgen. Diese Maßnahmen könnten Schulungen zu Praktiken wie Datenminimierung, Pseudonymisierung und Anonymisierung oder technische Sicherheitsmaßnahmen wie Zugangskontrollen, Verschlüsselung und Protokollierungsmethoden umfassen 

Förderung einer engeren Zusammenarbeit zwischen Datenschutz- und Geschäftsteams

Die Idee hierbei ist, dass sowohl Datenschutz- als auch Geschäftsziele erreicht werden können, ohne dass sich das eine negativ auf das andere auswirkt. Dies lässt sich erreichen, indem beide Teams von Anfang an zur Zusammenarbeit ermutigt werden und sichergestellt wird, dass sie gleichermaßen beteiligt werden. 

Datenschutz-Folgenabschätzungen (DSFA)

Durchführung von Datenschutz-Folgeabschätzungen (DSFA) für wichtige Prozesse und Projekte. Auch hier ist es wichtig, mehrere Perspektiven einzubeziehen, damit die Datenschutz-Folgenabschätzung das Erreichen der Geschäftsziele nicht verhindert. 

Regelmäßige Überwachung der Risiken für Privatsphäre und Daten

Häufige Überwachung der Risiken für den Datenschutz und die Cybersicherheit in Prozessen und Aktivitäten, und zwar in allen Phasen des Lebenszyklus der DatenErfassung, Speicherung, Verarbeitung und Löschung. Bedrohungen für Privatsphäre und Daten ändern sich ständig. Es ist wichtig, einen Rahmen einzurichten, der beispielsweise die regelmäßige Durchführung einer Risikoanalyse vorsieht.  

Ihre Mitarbeiter*innen sind ebenso wichtig, um Privacy by Design umzusetzen

Die Umsetzung von Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen mittels dieser 7 Grundsätze beinhaltet natürlich eine ganze Reihe von technischen Maßnahmen in den IT-Systemen und der Systemarchitektur. Wie Sie aber sicher schon bemerkt haben, sind die Geschäftspraktiken und -prozesse eines Unternehmens ebenso wichtig, um sicherzustellen, dass der Datenschutz während des gesamten Lebenszyklus der Daten standardmäßig eingehalten wird.  

Ihr Team ist wahrscheinlich am wichtigsten, um einen starken Datenschutz zu gewährleisten. Ihre Mitarbeiter*innen müssen wissen, was personenbezogene Daten sind, welche allgemeinen Datenschutzrisiken bestehen, welche allgemeinen Regeln für den Umgang mit personenbezogenen Daten gelten und so weiter.  

Ihr Team braucht dieses Bewusstsein und Wissen, damit es verstehen kann, warum Ihre Geschäftsprozesse und Systeme nach dem Prinzip von Privacy by Design konzipiert sind, sodass sie beispielsweise verstehen, warum sie Kundendaten nur in dem dafür vorgesehenen System oder an dem dafür vorgesehenen Ort speichern können und nicht in ihren eigenen unverschlüsselten Spreadsheets. 

Kurz gesagt: Die Sensibilisierung des Personals ist ein wichtiger Bestandteil von Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen. Unwissende Mitarbeiter*innen werden zweifellos Daten auf eine Weise behandeln, die möglicherweise nicht optimal für den Datenschutz ist.  

Sensibilisierungsmaßnahmen für Privacy by Design nutzen

Eine gute Möglichkeit, Mitarbeiter*innen dazu zu bringen, nutzerorientiert zu denken und den Datenschutz in den Vordergrund zu stellen, ist die Durchführung von Schulungen zum Sicherheitsbewusstsein. Wir haben bereits über die Schulung von Mitarbeiter*innen als eine der konkreten Maßnahmen gesprochen, die zu Privacy by Design beitragen. Sensibilisierungsschulungen dienen genau diesem Zweck: Sie machen Mitarbeiter*innen auf Risiken, Regeln, Verfahren und mehr aufmerksam. 

Betrachten Sie zum Beispiel den ersten Grundsatz von Privacy by Design: proaktiv statt reaktiv; präventiv statt abhelfend. Die proaktive Ermittlung von Risiken und die Entwicklung geeigneter Maßnahmen und Schutzvorkehrungen beinhaltet auch, dass Mitarbeiter*innen für diese Risiken sensibilisiert und darin geschult werden, wie sie darauf reagieren können.  

In ähnlicher Weise werden Sicherheitslücken oft als technische Probleme betrachtet, aber ein mangelndes Bewusstsein, das dazu führt, dass ein*e Mitarbeiter*in auf einen Phishing-Link klickt, ist genauso eine Sicherheitslücke. 

Der Einstieg in das Awareness-Training ist einfacher, als Sie vielleicht denken. Weitere Informationen finden Sie hier.

Fazit

Die Begründung und die Leitlinien der DSGVO für Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen sind zwar kurz und recht vage, aber es ist nicht schwer zu erkennen, wie diese Konzepte leicht mit dem übereinstimmen, was die DSGVO insgesamt zu erreichen versucht: den individuellen Nutzer*innen mehr Kontrolle über die eigenen Daten zu geben.  

Die Anwendung der Grundsätze von Privacy by Design in Ihrem Unternehmen bringen Sie nicht nur auf einen guten Weg zur Einhaltung der DSGVO, sondern hilft auch beim Aufbau einer vertrauensvollen und offenen Beziehung zu Ihren Kund*innen und Partner*innen. Und das hat doch nur Vorteile, oder?