Datenschutz: DSGVO und die Forderung nach „privacy by default“

Datenschutz durch datenschutzfreundliche Voreinstellungen

Mit der Datenschutzgrundverordnung (DSGVO) wird spätestens am 25. Mai 2018 die in Artikel 25 Absatz 2 DSGVO normierte Anforderung der „datenschutzfreundlichen Voreinstellungen“ für alle Verarbeitungen personenbezogener Daten umgesetzt sein müssen.

Auch wenn die Grundidee nach aus Sicht des Datenschutzes benutzerfreundlichen Voreinstellungen dem aus dem BDSG bereits bekannten „Erforderlichkeitsprinzip“ nicht unähnlich ist, wird über die Anforderung nochmals auch die Zielrichtung des Datenschutzes besonders deutlich. Anders als etwa aus Sicht der Datensicherheit sind personenbezogene Daten aus Sicht des Datenschutzes in einer Kommunikation zwischen A(lice) und B(ob) nicht durch einen unbestimmten „Man-in-the-Middle“ (Mallory) in Gefahr – der wahrscheinlichste Angreifer ist vielmehr B(ob) selber!
Die Prinzipien des Datenschutzrechtes schützen damit einen (vermeintlich) schwachen Betroffenen vor einem (vermeintlich) starken Datenverarbeiter. „Dritte“ rücken aus dem Fokus.
Soweit richtet sich die Forderung nach „privacy by default“ also keinesfalls (nur) an die Hersteller von IT-Systeme. Gemeint ist vielmehr eine Verpflichtung jedes Datenverarbeiters, seine Dienst und Systeme so zu gestalten, dass im Sinne der Verordnung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind, verarbeitet werden.
Dass es dem Verordnungsgeber dabei mit der Verpflichtung des Verantwortlichen durchaus ernst war, zeigt ein Blick auf Artikel 83 Absatz 4 DSGVO, der bei Verstößen gegen die Forderung nach Datenschutz durch benutzerfreundliche Voreinstellungen Geldbußen von bis zu 10 000 000 EUR oder 2% des gesamten weltweit erzielten Jahresumsatzes vorsieht.
Und wie kann die „abstrakte Forderung“ der DSGVO nach „privacy by default“ in der Praxis umgesetzt werden? Erwägungsgrund 78 führt hierzu durchaus umsetzungsorientiert unter anderem technische und organisatorische Maßnahmen zur Datenminimierung, eine schnellstmögliche Pseudonymisierung, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten oder die Möglichkeiten der Überwachung der Verarbeitung durch den Betroffenen an.
Das bei der weiteren Konkretisierung die in Aussicht stehenden Handreichungen und Stellungnahmen der Aufsichtsbehörden zukünftig eine wertvolle Hilfe sein können steht außer Frage – mit Blick auf die zu erwartenden Engineeringzeiten der gegebenenfalls notwendigen Systemgestaltungen dürfte es „auf den letzten Metern“ vor dem 25. Mai 2018 hierbei zeitlich jedoch eng werden.
Wie im Kontext vieler Anforderungen der DSGVO rücken damit auch bei der Gestaltung von Lösungen zum Datenschutz durch datenschutzfreundliche Voreinstellungen proaktive Datenschutz-Managementsysteme mit strukturierten und dokumentierten Lösungsräumen weiter in den Fokus. „One-size-fits-all“-Lösungen wird es unter der DSGVO nur noch wenige geben – die Forderung nach betroffenenspezifischen (u.a. also zielgruppenspezifischem) „default“ ist dafür nur ein Beispiel.