Aufsatz : Datenschutz „by Design“ und „by Default“ nach der neuen europäischen Datenschutz-Grundverordnung : aus der RDV 4/2017, Seite 165 bis 170
Zu den neuen Anforderungen der Datenschutz-Grundverordnung gehört der Artikel 25 „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“. So neu ist die Idee eines eingebauten Datenschutzes zwar nicht: Mitte der 1990er Jahre hatten die Datenschutzbeauftragten der Niederlande und von Ontario, Kanada, mit der Veröffentlichung „The Path to Anonymity“[1] den Begriff der „Privacy-Enhancing Technologies“ (datenschutzfördernde Technik) geprägt. Technik selbst sollte die durch den technischen Fortschritt verursachten Risiken für den Datenschutz eindämmen. In Deutschland griff der Arbeitskreis Technik der Datenschutzbeauftragten des Bundes und der Länder diese Idee in einer Orientierungshilfe auf.[2] Natürlich reicht es nicht aus, nur bei der Technik anzusetzen. Auch organisatorische Prozesse, die Unternehmenskultur und – ganz wichtig – die Geschäftsmodelle spielen bei der Systemgestaltung eine wesentliche Rolle, wenn es darum geht, Datenschutz einzubauen. 2010 verabschiedete die Internationale Konferenz der Datenschutzbeauftragten die „Privacy by Design Resolution“.[3] Die interdisziplinäre Forschungscommunity, die sich mit Systemgestaltung à la Datenschutz beschäftigt, wächst. Förderprojekte auf nationaler und europäischer Ebene arbeiten daran, die Tauglichkeit datenschutzfreundlicher Lösungen unter Beweis zu stellen. Allerdings kann man kaum feststellen, dass bisher die Umsetzung der schönen Datenschutz-Ideen Fahrt aufgenommen hätte und die Praxis der Datenverarbeitung prägte.
§ 3a BDSG bezieht sich auf die „Auswahl und Gestaltung von Datenverarbeitungssystemen“, die dem Prinzip der Datenvermeidung und Datensparsamkeit genügen sollen. Allerdings sieht das BDSG keine Sanktionen vor, wenn die verantwortliche Stelle diese Anforderungen nicht ausreichend umsetzt. In der Vergangenheit ist dieser Regelung daher keine große Bedeutung zugekommen. Dies soll mit der Datenschutz-Grundverordnung anders werden. Ein Verstoß gegen Artikel 25 kann gem. Artikel 83 Abs. 4 Buchst. a mit Geldbußen von bis zu 10 Mio. € oder bis zu 2 % des Vorjahresumsatzes geahndet werden.
Dieser Beitrag gibt einen Überblick darüber, wie Artikel 25 DSGVO die Prinzipien von Datenschutz „by Design“ und „by Default“ formuliert und was dies für die Anwender bedeutet.
I. Datenschutz „by Design“ – Art. 25 Abs. 1 DS-GVO
Nach Artikel 25 Abs. 1 DS-GVO muss der Verantwortliche bereits bei der Festlegung der Mittel einer Datenverarbeitung technische und organisatorische Maßnahmen treffen, um die Anforderungen des Datenschutzes umzusetzen. Dabei entspricht der Wortlaut weitestgehend dem der Artikel 24 Abs. 1 („Verantwortung des für die Verarbeitung Verantwortlichen“) und Artikel 32 Abs. 1 DS-GVO („Sicherheit der Verarbeitung“), die den Verantwortlichen zum Ergreifen und Überprüfen sowie Aktualisieren solcher Maßnahmen verpflichten. Artikel 25 Abs. 1 DS-GVO unterscheidet sich jedoch dadurch, dass er den Zeitpunkt des Ergreifens dieser Maßnahmen festlegt und damit deutlich macht, dass dies von der Gestaltung einer Datenverarbeitung, bis zu deren Ende, also über ihren gesamten Lebenszyklus, zu erfolgen hat. Zudem stellt die Vorschrift klar, dass diese Maßnahmen dem Schutz der von der Datenverarbeitung betroffenen Personen dienen.
Der deutsche Titel des Artikel 25 ist dabei irreführend: Er betitelt die Vorschrift als „Datenschutz durch Technikgestaltung“. In vielen anderen Sprachfassungen, unter anderem Englisch als Verhandlungssprache des Gesetzgebungsprozesses, ist dagegen allgemeiner von „Datenschutz durch Gestaltung“ oder „eingebautem Datenschutz“ die Rede.[4] Die Einschränkung auf Gestaltung von Technik findet sich also in den anderen Versionen der DS-GVO nicht, so dass die Vorschrift wohl weiter zu verstehen ist und sich auch auf organisatorische und rechtliche Gestaltung bezieht.
Im Gegensatz zu Vorgängerregelungen, etwa den §§ 3a oder 9 BDSG, handelt es sich bei Artikel 25 Abs. 1 DS-GVO nicht um eine Zielvorgabe, sondern um eine nach Artikel 83 Abs. 4 Buchst. a DS-GVO sanktionsbewehrte Pflicht des Verantwortlichen.[5] Allerdings enthält diese Pflicht einige einschränkende Bedingungen, auf die sich der Verantwortliche berufen kann, wenn er bestimmte technische und organisatorische Maßnahmen nicht umsetzt: Die Verpflichtung erstreckt sich auf geeignete technische und organisatorischen Maßnahmen, die unter Berücksichtigung des Stands der Technik und der Kosten der Implementierung in Abwägung mit den Risiken für die Rechte und Freiheiten natürlicher Personen aufgrund der Verarbeitung bestehen.
Dies eröffnet dem Verantwortlichen einen Spielraum. Der Begriff der „Stand der Technik“ ist zwar nicht neu und wurde bereits in Artikel 17 der DSRL verwendet. Eine genaue Definition fehlt jedoch. Zu den klaren Fällen gehören Maßnahmen, die offensichtlich veraltet und in ihrem Schutzniveau nicht ausreichend sind. Beispielsweise ließe sich leicht argumentieren, dass eine Website ohne SSL/TLSVerschlüsselung, über die personenbezogene Daten verarbeitet werden, nicht mehr dem Stand der Technik entspricht. Weniger klar ist z. B. die Verwendung von datenschutzfreundlichen attributbasierten Berechtigungsnachweisen, die eine besonders datensparsame Authentifizierung ermöglichen.[6] Zwar ist diese Technik bereits verfügbar und hat in mehreren Anwendungskontexten ihre Funktionsfähigkeit unter Beweis gestellt. Jedoch müsste der Verantwortliche – solange es an Angeboten für entsprechende Infrastrukturen fehlt – seine eigene Infrastruktur für attributbasierte Berechtigungsnachweise aufbauen. Dies wird nicht immer zu verlangen sein.
Mit der Referenz auf den „Stand der Technik“ schafft Artikel 25 Abs. 1 DS-GVO immerhin einen verbindlichen Mindeststandard, der von den Aufsichtsbehörden durchzusetzen ist. In Zukunft wäre es wünschenswert, wenn kompetente Stellen ein Repository zum aktuellen Stand der Technik nicht nur aus Sicht der Sicherheit (Artikel 32 DS-GVO), sondern auch mit Hinblick auf die Datenschutz-Lösungen für die Erfüllung der Anforderungen nach Artikel 25 DS-GVO bereithielten, an dem sich Rechtsanwender orientieren können.[7] Wichtig wäre dabei eine ständige Pflege, damit die Informationen den aktuellen Wissensstand widerspiegeln, und eine Dokumentation von Abhängigkeiten oder etwaigen (unerwünschten) Seiteneffekten.
Ein inhärentes Problem des europäischen Datenschutzrechts, die Fixierung auf den Verantwortlichen, schlägt sich auch in Artikel 25 Abs. 1 DS-GVO nieder. In der Praxis setzen nur wenige Unternehmen oder Behörden für die Datenverarbeitung selbst entwickelte Produkte ein. In den meisten Fällen werden diese von externen Herstellern eingekauft. Diese Hersteller werden jedoch nur in Erwägungsgrund 78 erwähnt. Danach sollen sie „ermutigt“ werden, Datenschutz „by Design“ bei ihren Produkten, Dienstleistungen und Anwendungen zu berücksichtigen und dadurch sicherzustellen, dass Verantwortliche ihren datenschutzrechtlichen Verpflichtungen nachkommen können. Weiterhin erwähnt Erwägungsgrund 78 öffentliche Ausschreibungen, die zur Umsetzung des Prinzips beitragen können. Die Ermutigung kann in diesem Fall von zwei Seiten kommen: Einerseits sollten Mitgliedstaaten durch finanzielle Anreize, wie Steuererleichterungen oder Förderprogramme für datenschutzfreundliche Systeme, ihre Lenkungsaufgabe gegenüber der Wirtschaft wahrnehmen. Andererseits sind auch die Verantwortlichen verpflichtet, das Prinzip des Datenschutzes „by Design“ umzusetzen, wenn sie Produkte oder Dienstleistung en einsetzen. Artikel 24 Abs. 1 DS-GVO nennt im Rahmen der Verantwortung des Verantwortlichen im Gegensatz zu den Artikeln 25 Abs. 1 und 32 Abs. 1 DS-GVO auch nicht die Kosten der Implementierung. Diese sind zwar bei der konkreten Umsetzung spezifischer technischer und organisatorischer Maßnahmen zu berücksichtigen, können aber den Verantwortlichen gerade nicht von seiner Verantwortung befreien.
Zudem werden in der Praxis oft Dienstleister im Wege einer Auftragsverarbeitung gem. Artikel 28 DS-GVO eingesetzt. Gerade bei dieser entscheidet aber eben meist der Auftragsverarbeiter über die technischen und organisatorischen Maßnahmen im Rahmen der Entscheidung über die Mittel der Verarbeitung.[8] Der Verantwortliche ist gem. Artikel 28 Abs. 1 DS-GVO aber verpflichtet, nur mit solchen Auftragsverarbeitern zusammenzuarbeiten, die „hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt“. Dies bezieht selbstverständlich auch Artikel 25 DS-GVO mit ein. Indem der Verantwortliche sich für eine bestimmte Art der Verarbeitung für die von ihm festgelegten Zwecke entscheidet und im Rahmen seiner Privatautonomie eine Vereinbarung mit einem Auftragsverarbeiter schließt, verbleibt die Verantwortung für die Verarbeitungstätigkeit bei ihm.[9]
Für die Umsetzung des Prinzips des Datenschutzes „by Design“ in der Praxis ist die Datenschutz-Folgenabschätzung (DSFA) gem. Artikel 35 DS-GVO von großer Bedeutung.[10] Eine solche ist für Verarbeitungstätigkeiten, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Person zur Folge haben, verpflichtend; sie empfiehlt sich aber auch für andere Verarbeitungstätigkeiten. Die DSFA ist vor Beginn der Verarbeitungstätigkeit vorzunehmen und hat das Ziel, gem. Artikel 35 Abs. 7 Buchst. d DS-GVO den Nachweis zu erbringen, dass die Verarbeitung die Vorschriften der DS-GVO insgesamt eingehalten wird. Dies geschieht durch eine auf einem Verzeichnis der Verarbeitungstätigkeiten gem. Artikel 30 DS-GVO aufbauende Risikoabschätzung für die Rechte und Freiheiten natürlicher Personen, wobei eben dieses Risiko durch Abhilfemaßnahmen, wie sie auch von Artikel 32 DS-GVO gefordert werden, eingedämmt werden muss. Bei der Auswahl dieser Maßnahmen ist im Rahmen der DSFA die Pflicht zum Datenschutz „by Design“ zu berücksichtigen und im Rahmen der Maßnahmenumsetzung zu dokumentieren.
II. Datenschutz „by Default“ – Art. 25 Abs. 2 DS-GVO
Datenschutz durch datenschutzfreundliche Voreinstellungen wird von vielen Experten als Konkretisierung von „Datenschutz by Design“ verstanden. In der Tat hat Ann Cavoukian, die sieben Grundprinzipien für „Privacy by Design“ formuliert hat, eines davon „Privacy by Default“ genannt:
„Privacy as the default setting: If an individual does nothing, their privacy still remains intact. No action is required on the part of the individual to protect their privacy – it is built into the system, by default.“[11]
„Privacy as the default setting“ trägt also zu „Privacy by Design“ bei. Es klingt sehr schön: Die betroffenen Personen müssen nichts tun, damit ihre Privatheit intakt bleibt. Es ist also kein „opt-out“ notwendig – Datenschutz ist garantiert. Aber so einfach ist es dann doch nicht, wenn die betroffenen Personen Dienste nutzen wollen, bei denen die Weitergabe von Daten für den jeweiligen Zweck erforderlich ist.
Dies hat auch der Europäische Datenschutzbeauftragte in seiner Stellungnahme zum Entwurf der DS-GVO zum Ausdruck gebracht:
„The principle of data protection by default aims at protecting the data subject in situations in which there might be a lack of understanding or control on the processing of their data, especially in a technological context. The idea behind the principle is that privacy intrusive features of a certain product or service are initially limited to what is necessary for the simple use of it. The data subject should in principle be left the choice to allow use of his or her personal data in a broader way.”[12]
Der Text von Artikel 25 Abs. 2 DS-GVO geht primär auf die Erforderlichkeit ein und konkretisiert damit die Grundsätze der Zweckbindung und Datenminimierung gem. Artikel 5 Abs. 1 Buchst. b und c. Wieder ist der Verantwortliche derjenige, der aktiv die geeigneten technischen und organisatorischen Maßnahmen treffen muss – allerdings anders als in Artikel 25 Abs. 1 DS-GVO nicht mit den einschränkenden Bedingungen wie „Stand der Technik“ oder „Implementierungskosten“. Es ist eine insoweit unbeschränkte Verpflichtung des Verantwortlichen:
Der Text von Artikel 25 Abs. 2 DS-GVO geht primär auf die Erforderlichkeit ein und konkretisiert damit die Grundsätze der Zweckbindung und Datenminimierung gem. Artikel 5 Abs. 1 Buchst. b und c. Wieder ist der Verantwortliche derjenige, der aktiv die geeigneten technischen und organisatorischen Maßnahmen treffen muss – allerdings anders als in Artikel 25 Abs. 1 DS-GVO nicht mit den einschränkenden Bedingungen wie „Stand der Technik“ oder „Implementierungskosten“. Es ist eine insoweit unbeschränkte Verpflichtung des Verantwortlichen:
„Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.“ (Artikel 25 Abs. 2 Satz 1 DS-GVO – deutsche Fassung)
Zuallererst muss darauf hingewiesen werden, dass sich in der deutschen Sprachfassung fälschlicherweise ein zusätzliches Wort eingeschlichen hat: „grundsätzlich“. Diese Einschränkung findet sich beispielsweise in der englischen Version nicht:
„The controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed.” (Artikel 25 Abs. 2 Satz 1 DS-GVO – englische Fassung)
Also handelt es sich – anders als die deutsche Sprachfassung suggeriert, in der die Wortwahl „grundsätzlich“ Ausnahmen zulassen würde[13] – um eine absolute Forderung: Es ist durch Voreinstellung zu gewährleisten, dass nur die erforderlichen personenbezogenen Daten verarbeitet werden. Diese initiale Voreinstellung kann von den Nutzenden durch aktives Tun geändert werden, beispielsweise um zusätzliche Daten für weitere Zwecke freizugeben.
Mit dem Anspruch Datenschutz „by Default“ ändert sich das Vorzeichen im Vergleich zum heutigen Status in der Praxis, bei dem die Voreinstellungen nicht maximal datensparsam für den jeweiligen Zweck sind. Heutzutage müssen die Nutzenden, die sich für Datenschutz interessieren, oft mühsam in verschiedenen Menüs der Konfiguration die voreingestellten Datenweitergaben ändern. Wer dies nicht weiß oder wem dies zu kompliziert erscheint, gibt momentan vielfach deutlich mehr an personenbezogenen Daten heraus, als erforderlich ist.[14]
Wie „erforderlich für den jeweiligen bestimmten Verarbeitungszweck“ auszulegen ist, erläutert Artikel 25 Abs. 2 Satz 2 DS-GVO: „Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit.“ Es geht also nicht nur darum, wie viele Daten weitergegeben werden, sondern auch, wie sie verarbeitet werden, wie lange sie gespeichert sind und wie die Zugänglichkeit zu den Daten aussieht. Neu – und nicht genauer in der DS-GVO definiert – ist der Begriff der Zugänglichkeit („accessibility“)[15]: Hierunter ist beispielsweise zu verstehen, dass auch die Zugriffsmöglichkeiten zu den Daten minimiert werden müssen. Daraus ergibt sich ein Rückspiel zu den „Design“-Anforderungen, wenn nämlich über möglichst weitgehend eingeschränkte Zugriffsrechte, über eine Verschlüsselung gegen einen Zugriff auf den Klartext oder auch über Speicherorte entschieden wird. Speicherorte, die zu einer übermäßigen Zugänglichkeit der Daten führen, könnten beispielsweise solche Drittstaaten ohne adäquates Datenschutzniveau sein, in denen gesetzlich behördliche Zugriffe auf die personenbezogenen Daten ausbedungen werden.
Bei dem letzten Satz des Artikel 25 Abs. 3 DS-GVO handelt es sich um ein konkretisierendes Beispiel, dass „personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden“ darf. Dies bedeutet beispielsweise für ein Soziales Netzwerk, dass per Voreinstellung nicht „Friends-of-Friends“ oder globale Suchmaschinen Zugriff auf die hochgeladenen personenbezogenen Daten erhalten dürfen. Es soll nicht passieren, dass Nutzende versehentlich ihre Daten – oder auch personenbezogene Daten ihrer Bekannten – der ganzen Welt zur Verfügung stellen. Stattdessen ist hier als Schutz ein aktives Tun – ein bewusstes Umkonfigurieren der Voreinstellungen – notwendig.
Die Regelungen zu Datenschutz „by Default“ sagen allerdings nichts darüber aus, inwieweit der initiale Schutz mit einem Klick der Umkonfiguration vollständig seine Wirkung verlieren darf. Da ein solcher Klick eine Einwilligung gem. Artikel 7 DS-GVO in eine weitere Datenverarbeitung, zu weiteren Zwecken bedeuten würde, müsste eine derartige Gestaltung der Benutzungsoberfläche auf jeden Fall die Transparenzanforderungen des Artikel 12 DS-GVO und die Informationspflicht nach Artikel 13 DS-GVO erfüllen. Danach soll ein Umkonfigurieren der Voreinstellungen ohne das Bewusstsein des Betroffenen über dessen Auswirkungen ausgeschlossen werden. Zudem gelten auch für diese weiteren Zwecke die Grundsätze der Zweckbindung und Datenminimierung, mit denen eine ausufernde Erweiterung der Zwecke unterbunden wird.
III. Rolle der Zertifizierung – Art. 25 Abs. 3 DS-GVO
Um nachzuweisen, dass die Anforderungen von Datenschutz „by Design“ und „by Default“ erfüllt werden, kann nach Artikel 25 Abs. 3 DS-GVO ein genehmigtes Zertifizierungsverfahren gem. Artikel 42 als Faktor (im Englischen: „used as an element to demonstrate compliance“) herangezogen werden. Ähnliche Regelungen mit Bezug auf Zertifizierungsverfahren finden sich in den Artikeln 24 Abs. 3, 28 Abs. 5 und 32 Abs. 3 DS-GVO, hier jeweils mit zusätzlichem Verweis auf genehmigte Verhaltensregeln gem. Artikel 40. Dies ist anders beim Artikel 25, der lediglich Zertifizierungsverfahren als einen Faktor zum Nachweis der Einhaltung akzeptiert.
Aus dieser Regelung lässt sich ableiten, dass die genehmigten Zertifizierungsverfahren gem. Artikel 42 die Anforderungen aus Artikel 25 Abs. 1 und 2 DS-GVO prüfen müssen. Um tatsächlich bewerten zu können, inwieweit eine Zertifizierung Artikel 25 DS-GVO umsetzt, reicht blindes Vertrauen in ein vorhandenes Zertifikat nicht aus. Vielmehr muss der Verantwortliche dies anhand der Dokumentation und der Informationen über das konkret durchgeführte Zertifizierungsverfahren für die datenschutzrechtlichen Anforderungen an seine Verarbeitung überprüfen.
IV. Hinweise für den Anwender
Für Verantwortliche ist es wichtig, sich mit Artikel 25 DS-GVO und seinen Anforderungen zu beschäftigen. Mit der gewählten abstrakten Formulierung ist diese Regelung zwar offen für zukünftige Entwicklungen, wirft jedoch gleichzeitig Probleme in der praktischen Interpretation für die konkreten Fälle auf. Erwägungsgrund 78 bietet ein wenig Hilfestellung:
– Erwartet wird vom Verantwortlichen die Festlegung interner Strategien (englisch: „adopt internal policies“) zum Datenschutz „by Design“ und „by Default“ und das Umsetzen entsprechender Maßnahmen.
– In den schriftlich niedergelegten „Strategien“ (im Sinne von internen Richtlinien) sollte beschrieben werden, wie Artikel 25 DS-GVO umgesetzt wird. Hierbei bietet sich an, zwischen den Anforderungen aus Artikel 25 Abs. 1 und 2 DS-GVO zu unterscheiden. Es reicht nicht aus, pauschal darauf zu verweisen, dass von einer Umsetzung von Maßnahmen im Sinne von Artikel 25 Abstand genommen wurde, weil keine Maßnahme als „Stand der Technik“ einzustufen war oder die Implementierungskosten als unverhältnismäßig angesehen wurden.
– Zumindest die in Erwägungsgrund 78 beispielhaft aufgeführten Maßnahmen sollten in den internen Strategien aufgenommen werden. Dazu gehören die Minimierung der Verarbeitung personenbezogener Daten und eine schnellstmögliche Pseudonymisierung. Ebenso sind Transparenz der Funktionen und der Verarbeitung personenbezogener Daten und für die betroffenen Personen eine Überwachung einer solchen Verarbeitung (englisch: „monitor the data processing“) umfasst. Zudem sollen Maßnahmen den Verantwortlichen in die Lage versetzen, Sicherheitsfunktionen zu schaffen und zu verbessern (englisch: „create and improve security features“). Dieser letzte Punkt verstärkt die Notwendigkeit, passende Lösungen für unterschiedliche Schutzbedarfe zu ermöglichen und über die Zeit Verbesserungen vornehmen zu können.
Abb. 1 zeigt, welche fundamentalen Entscheidungen die Entwickler bei der Gestaltung der Funktionalität der Datenverarbeitung und zum Systemverhalten in Bezug auf Datenschutz „by Design“ und „by Default“ treffen müssen.
Zunächst ist festzulegen, ob eine bestimmte Funktionalität oder ein bestimmtes Systemverhalten durch die Nutzen den konfigurierbar sein sollen oder nicht. Diese Festlegung ist eine Design-Entscheidung. Was nicht umkonfiguriert werden können soll (rechte Seite in Abb. 1), wird – wieder im Sinne des Datenschutzes „by Design“ – fest eingebaut. Als Beispiel sei eine Verschlüsselung genannt, die von einem Nutzenden nicht deaktiviert werden soll.
Wenn festgelegt wurde, dass eine Konfigurierbarkeit bestehen soll, ist zu prüfen, ob eine Voreinstellung vorgesehen wird (linke Seite in Abb. 1) oder dies nicht der Fall sein soll. Beispielsweise könnte als Voreinstellung bei einer Nutzung eines Internet-Dienstes jede Datenweitergabe im Rahmen eines Trackings ausgestellt sein. Ein Tracking kann dann nur stattfinden, wenn die Nutzenden dies bewusst und gewollt aktivieren, z. B. wenn sie sich davon einen Nutzen – wie eine bessere Beratung – versprechen. Auf keinen Fall darf eine datenschutzfreundliche Voreinstellung dazu führen, dass eine Nutzung des Dienstes faktisch nicht möglich ist und die betroffenen Personen dazu gezwungen werden, mehr als die für den Zweck erforderlichen Daten herauszugeben, um überhaupt eine Dienstnutzung zu erreichen. Allerdings kann es sein, dass für den Fall, dass weniger personenbezogene Daten verarbeitet werden, bestimmte Funktionalität nicht vollständig nutzbar sind. Beispielsweise wäre eine personalisierte Nutzung regelmäßig nicht erforderlich. Jedoch wird es für eine detaillierte Beratung dazu, welche Produkte den personalisierten Anforderungen des Nutzenden genügen, oft nötig sein, dass diese Anforderungen in geeigneter Fassung kommuniziert werden. In der – vom Nutzenden änderbaren – Voreinstellung sollte demnach konfiguriert sein, dass zunächst keine überschießenden Informationen für das einfache Nutzungsszenario – ohne personalisierte Beratung – weitergegeben werden.
Es gibt zudem den Fall, dass eine Interaktion mit den Nutzenden notwendig ist und eine Voreinstellung nicht sinnvoll oder nicht rechtskonform wäre. Beispielsweise wäre bei dem Online-Einkauf bei einem neuen Anbieter üblicherweise das Bezahlverfahren aktiv auszuwählen, statt in der Voreinstellung die Entscheidung für ein datenschutzfreundliches Verfahren zu treffen. Zwar wäre gemäß dem Prinzip Datenschutz „by Design“ im Rahmen der Verhältnismäßigkeit normalerweise mindestens ein da tenschutzfreundliches Bezahlverfahren zu unterstützen. Jedoch ist für die Aktion „Einkauf“ eine bewusste Willensentscheidung notwendig, und hierzu gehört auch die Bestimmung der Nutzenden über das jeweils zu verwendende Bezahlverfahren, das den eigenen Anforderungen genügt.
V. Fazit
Artikel 25 DS-GVO verlangt von den Anwendern, dass sie auf eingebauten Datenschutz achten. Während im Bereich der Informationssicherheit zunehmend Lösungen zu finden sind, ist der Status Quo für Datenschutzanforderungen zur Zeit unbefriedigend. Da die Verantwortlichen bei der Gestaltung ihrer Datenverarbeitung von Herstellern, Auftragsverarbeitern und (De-facto-)Standards abhängig sind, wird es darauf ankommen, inwieweit dort die Umsetzung des Artikel 25 DS-GVO ernst genommen wird und wie sehr die Verantwortlichen dies nachfragen.
Der öffentliche Sektor sollte hierbei eine Vorbildfunktion einnehmen. In öffentlichen Ausschreibungen wird es künftig notwendig sein, bei den Anbietern die Erfüllung der Anforderungen aus der DS-GVO einschließlich Artikel 25 DS-GVO abzufragen. Damit Datenschutz „by Design“ und „by Default“ den Weg in die Praxis finden, sollten Impulse von Fördergebern und vom Gesetzgeber dazu beitragen, dass tatsächlich – wie in Erwägungsgrund 78 beschrieben – „die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen, dass die Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen.“
Felix Bieker, LL.M.(Edinburgh) ist als juristischer Mitarbeiter im Projektreferat des Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) u.a. für das Projekt Forum Privatheit tätig.
Marit Hansen Dipl.-Inform. Marit Hansen ist seit 2015 die Landesbeauftragte für Datenschutz Schleswig-Holstein und leitet das ULD.
[1] Van Rossum/Gardeniers/Borking u.a.: Privacy-Enhancing Technologies: The Path to Anonymity, Volume I und II. Hrsg. von Registratiekamer, The Netherlands & Information and Privacy Commissioner/ Ontario, Canada, 1995; abrufbar unter: http://www.cbpweb.nl/downloads_av/av11.pdf (Link zur überarbeiteten Version von 2000).
[2] AK Technik der Datenschutzbeauftragten des Bundes und der Länder: Arbeitspapier „Datenschutzfreundliche Technologien“, 1997; abrufbar unter: http://www.datenschutz-bayern.de/technik/grundsatz/apdsft.htm.
[3] PbD Resolution 2010] 32nd International Conference of Data Protection and Privacy Commissioners: Privacy by Design Resolution. 27.- 29. Oktober 2010, Jerusalem, Israel; abrufbar unter: http://www.ipc.on.ca/site_documents/pbd-resolution.pdf.
[4] Vgl. [FR]: Protection des données dès la conception; [ES]: Protección de datos desde el diseño; [NL]: Gegevensbescherming door ontwerp en door standaardinstellingen; [SV]: Inbyggt dataskydd och dataskydd som standard
[5] Zur Umsetzung der Vorschriften der DSGVO zum technischen Datenschutz im neuen BDSG, vgl. Bieker/Hansen, Normen des technischen Datenschutzes nach der europäischen Datenschutzreform, DuD 2017, Heft 1, S. 285.
[6] Rannenberg/Camenisch/Sabouri (Hrsg.): Attribute-based Credentials for Trust-Identity in the Information Society, Springer, 2015.
[7] ENISA: Readiness Analysis for the Adoption and Evolution of Privacy Enhancing Technologies, 2015; abrufbar unter: https://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/pets.
[8] Vgl. schon zur DSRL Artikel 29-Datenschutzgruppe, WP 169, S. 30 ff.
[9] So auch Artikel-29-Datenschutzgruppe, WP 169, S. 30 f.
[10] Dazu ausführlich Friedewald u.a.: White Paper Datenschutz-Folgenabschätzung. Ein Werkzeug für besseren Datenschutz, 2016; abrufbar unter: https://www.forum-privatheit.de/forum-privatheit-de/publikationen-und-downloads/veroeffentlichungen-des-forums/themenpapiere-white-paper/Forum_Privatheit_White_Paper_Datenschutz-Folgenabschaetzung_2016.pdf.
[11] Cavoukian: Privacy by Design. The 7 Foundational Principles, 2011; abrufbar unter: https://www.ipc.on.ca/wp-content/uploads/Resources/7foundationalprinciples.pdf.
[12] European Data Protection Supervisor: Opinion of the European Data Protection Supervisor on the data protection reform package, 7. März 2012; abrufbar unter: http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2012/12-03-07_EDPS_Reform_package_EN.pdf.
[13] So entschied der EuGH schon in der bekannten Rs. 26/69 Stauder v Stadt Ulm, Urteil vom 12. November 1969, ECLI:EU:C:1969:57, Rn. 3: „so verbietet es die Notwendigkeit einheitlicher Anwendung und damit Auslegung, die Vorschrift in einer ihrer Fassungen isoliert zu betrachten, und gebietet es vielmehr, sie nach dem wirklichen Willen des Urhebers und dem von diesem verfolgten Zweck, namentlich im Licht ihrer Fassung in allen vier Sprachen auszulegen”.
[14] Leon u.a.: Why Johnny can’t opt out: a usability evaluation of tools to limit online behavioral advertising, in: Proc. CHI ‘12, S. 589-598, 2012
[15] „Accessibility“ unterscheidet nicht wie die Anlage zu § 9 BDSG nach „Zutrittskontrolle“, „Zugangskontrolle“ oder „Zugriffskontrolle“. Im Endeffekt geht es um die Zugriffsmöglichkeiten, für die jedoch auch Zutritts- oder Zugangsmöglichkeiten zu den Systemen der Datenverarbeitung umfassen können. Zusätzlich kann man darunter auch die Möglichkeiten für eine Auswertung verstehen, wie dies in der Formulierung „strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind“ in Artikel 4 Abs. 1 Nr. 6 zum Ausdruck kommt.