Privacy by Default ist ein zentrales Datenschutzprinzip der Datenschutz-Grundverordnung (DSGVO). Es sorgt dafür, dass personenbezogene Daten standardmäßig mit dem höchstmöglichen Schutz verarbeitet werden, ohne dass die betroffene Person aktiv werden muss. Dieses Konzept ist eng mit Privacy by Design verbunden und ergänzt dieses, indem es den Fokus auf die standardmäßige Voreinstellung von datenschutzfreundlichen Maßnahmen legt. In diesem Artikel erfahren Sie, was Privacy by Default bedeutet, wie es umgesetzt wird und warum es für Unternehmen und Organisationen, die personenbezogene Daten verarbeiten, wichtig ist.
Was bedeutet Privacy by Default?
Der Begriff lässt sich mit „Datenschutz durch datenschutzfreundliche Voreinstellungen“ übersetzen. Er besagt, dass Systeme, Prozesse oder Dienstleistungen, die personenbezogene Daten verarbeiten, so gestaltet sein müssen, dass automatisch die datenschutzfreundlichsten Einstellungen greifen. Das bedeutet, dass ohne aktives Zutun des Nutzers der maximale Schutz der Privatsphäre sichergestellt ist. Der Benutzer muss also keine zusätzlichen Maßnahmen ergreifen, um seine Daten zu schützen, weil der Schutz standardmäßig gewährleistet ist.
Unterschied zu Privacy by Design
Während Privacy by Design sicherstellt, dass Datenschutz in jede Phase der Entwicklung eines Systems integriert wird, fokussiert sich Privacy by Default auf die Voreinstellungen für den Datenschutz. Diese Voreinstellungen müssen so ausgelegt sein, dass nur die absolut notwendigen personenbezogenen Daten erhoben und verarbeitet werden und die Daten nicht ohne Zustimmung des Nutzers weiterverarbeitet oder an Dritte weitergegeben werden.
Beispiel: Wenn ein Nutzer ein neues Benutzerkonto bei einem Online-Dienst anlegt, sollten die Standardeinstellungen so konfiguriert sein, dass die Weitergabe der Daten an Dritte ausgeschlossen ist, es sei denn, der Nutzer ändert die Einstellungen aktiv.
Praktische Umsetzung
Die Umsetzung von Privacy by Default erfordert von Unternehmen und Organisationen, dass sie sicherstellen, dass ihre Systeme und Prozesse von Anfang an auf maximale Datensparsamkeit und Datenschutz ausgelegt sind. Folgende Maßnahmen sind dabei zentral:
- Datenminimierung: Unternehmen müssen sicherstellen, dass nur die Daten erhoben und verarbeitet werden, die unbedingt notwendig sind, um den jeweiligen Zweck zu erfüllen. Dies steht im Einklang mit dem Grundsatz der Datenminimierung der DSGVO.
- Voreinstellungen für den Datenschutz: Systeme und Dienste müssen so konfiguriert sein, dass standardmäßig die strengsten Datenschutzeinstellungen aktiviert sind. Dazu gehört beispielsweise, dass keine unnötigen Daten gesammelt oder weitergegeben werden und der Nutzer explizit zustimmen muss, bevor eine erweiterte Datenverarbeitung stattfindet.
- Transparenz: Nutzer müssen klar und verständlich darüber informiert werden, wie ihre Daten verwendet werden und welche Optionen sie haben, um ihre Datenschutzeinstellungen zu ändern. Transparenz ist ein grundlegender Bestandteil der DSGVO und spielt auch bei Privacy by Default eine wichtige Rolle.
- Einwilligung: Bevor ein Unternehmen mehr Daten sammelt oder verarbeitet als notwendig, muss es die Einwilligung der betroffenen Person einholen. Diese Einwilligung muss freiwillig, spezifisch und informiert sein, und der Nutzer muss sie jederzeit widerrufen können.
Beispiele für Privacy by Default
Ein häufig genanntes Beispiel ist die Deaktivierung von Cookies, die nicht unbedingt für den Betrieb einer Website notwendig sind. Webseiten sollten standardmäßig nur technisch notwendige Cookies setzen und erst dann zusätzliche Cookies (z. B. für Marketing oder Tracking) aktivieren, wenn der Nutzer dem ausdrücklich zugestimmt hat.
Ein weiteres Beispiel ist die Standardeinstellung in sozialen Netzwerken, bei der das Nutzerprofil zunächst auf „privat“ eingestellt ist, sodass nur vom Nutzer ausgewählte Personen auf das Profil und dessen Inhalte zugreifen können. Der Nutzer kann diese Einstellung dann bewusst anpassen, falls er oder sie das Profil öffentlich machen möchte.
Bedeutung von Privacy by Default unter der DSGVO
Gemäß Artikel 25 der DSGVO sind Unternehmen und Organisationen dazu verpflichtet, die Grundsätze von Privacy by Default umzusetzen. Das bedeutet, dass der Datenschutz von Anfang an in die Datenverarbeitung integriert sein muss. Unternehmen, die gegen diese Grundsätze verstoßen, riskieren erhebliche Bußgelder und rechtliche Konsequenzen.
Für Unternehmen bedeutet dies, dass sie ihre IT-Systeme, Plattformen und Prozesse regelmäßig überprüfen und sicherstellen müssen, dass alle Voreinstellungen den Anforderungen der DSGVO entsprechen. Bei der Implementierung neuer Software oder Dienste sollten Datenschutzaspekte von Anfang an mitgedacht und berücksichtigt werden.
Vorteile von Privacy by Default
Die Umsetzung von Privacy by Default bietet zahlreiche Vorteile:
- Verbesserter Datenschutz: Durch standardmäßig aktivierte Datenschutzfunktionen wird das Risiko einer unbewussten Datenweitergabe reduziert.
- Vertrauen der Kunden: Kunden wissen es zu schätzen, wenn ihre Daten von vornherein geschützt werden, ohne dass sie selbst aktiv werden müssen. Dies stärkt das Vertrauen in das Unternehmen.
- Einhaltung der DSGVO: Unternehmen, die Privacy by Default umsetzen, erfüllen die gesetzlichen Anforderungen der DSGVO und vermeiden potenzielle Bußgelder.
- Wettbewerbsvorteil: Unternehmen, die ihre Kunden aktiv vor Datenmissbrauch schützen, können sich positiv von Mitbewerbern abheben.
Fazit
Privacy by Default stellt sicher, dass der Schutz personenbezogener Daten von Anfang an standardmäßig gewährleistet ist. Es ist ein zentraler Bestandteil der DSGVO und ergänzt das Prinzip Privacy by Design. Unternehmen, die diese Grundsätze umsetzen, erfüllen nicht nur die gesetzlichen Vorgaben, sondern schützen auch das Vertrauen ihrer Kunden und verbessern ihre eigene Datensicherheit.