Datenschutz durch Design und Datenschutz durch Standard (Datenschutz durch Design und Datenschutz durch GDPR)

Im Mai 2018 trat ein neues Gesetz zum Schutz personenbezogener Daten in Kraft - die Allgemeine Datenschutzverordnung oder die Verordnung des Europäischen Parlaments und des Rates der Europäischen Union vom 27. April 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. und die Aufhebung der Richtlinie 95/46 / EG (im Folgenden: DSGVO ), mit der EU-Bürgern Instrumente für die uneingeschränkte Kontrolle ihrer personenbezogenen Daten zur Verfügung gestellt werden, deren Schutz in der Europäischen Union ein Grundrecht darstellt. Nach Artikel 25 DSGVO müssen Unternehmen standardmäßig Systeme mit integriertem Schutz personenbezogener Daten und Datenschutzsysteme erstellen - standardmäßig Datenschutz durch Design und Datenschutz . Im vorliegenden Material werden wir diese Konzepte analysieren.

Der Wortlaut von Artikel 25 der Geschäftsordnung in englischer und russischer Sprache:

1. Unter Berücksichtigung des Stands der Technik, der Durchführungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie der Risiken unterschiedlicher Wahrscheinlichkeit und Schwere der Rechte und Freiheiten natürlicher Personen, die durch die Verarbeitung entstehen, hat der für die Verarbeitung Verantwortliche Englisch: eur-lex.europa.eu/LexUriServ/LexUri...0023: EN: HTML Sie treffen sowohl zum Zeitpunkt der Festlegung der Verarbeitungsmittel als auch zum Zeitpunkt der Verarbeitung selbst geeignete technische und organisatorische Maßnahmen wie die Pseudonymisierung, mit denen datenschutzrechtliche Grundsätze wie die Datenminimierung umgesetzt werden sollen eine wirksame Art und Weise und die erforderlichen Schutzmaßnahmen in die Verarbeitung zu integrieren, um die Anforderungen dieser Verordnung zu erfüllen und die Rechte der betroffenen Personen zu schützen.

1. Unter Berücksichtigung des Standes der Wissenschaft und Technik, der Durchführungskosten, der Art, des Umfangs, der Merkmale und der Ziele der Verarbeitung sowie des wahrscheinlichen Auftretens von Risiken und Gefahren für die Rechte und Freiheiten des Einzelnen infolge der Verarbeitung sollte der für die Verarbeitung Verantwortliche wie bei der Festlegung der Verarbeitungsmittel und während der Verarbeitung selbst geeignete technische und organisatorische Maßnahmen einleiten, z. B. Pseudonymisierung, um die Grundsätze des Datenschutzes wirksam umzusetzen, z. B. um Daten zu minimieren und zu integrieren die erforderlichen Garantien für die Verarbeitung, um die Anforderungen dieser Verordnung zu erfüllen und die Rechte der betroffenen Personen zu schützen.

2. Der für die Verarbeitung Verantwortliche ergreift geeignete technische und organisatorische Maßnahmen, um sicherzustellen, dass standardmäßig nur personenbezogene Daten verarbeitet werden, die für den jeweiligen Zweck der Verarbeitung erforderlich sind. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, den Zeitraum ihrer Speicherung und ihre Zugänglichkeit. Insbesondere soll durch solche Maßnahmen sichergestellt werden, dass personenbezogene Daten standardmäßig nicht ohne Eingreifen des Einzelnen einer unbegrenzten Anzahl natürlicher Personen zugänglich gemacht werden.

2. Der für die Verarbeitung Verantwortliche sollte geeignete technische und organisatorische Maßnahmen ergreifen, um sicherzustellen, dass standardmäßig nur die personenbezogenen Daten verarbeitet werden, die für das jeweilige Verarbeitungsziel erforderlich sind. Diese Verpflichtung gilt für die große Menge an erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, die Dauer ihrer Speicherung und die Möglichkeit des Zugriffs darauf. Insbesondere sollte durch diese Maßnahmen sichergestellt werden, dass der Zugriff auf personenbezogene Daten standardmäßig nicht einer unbegrenzten Anzahl von Personen ohne die Teilnahme einer Person gewährt wird.

(3) Ein zugelassener Zertifizierungsmechanismus nach Artikel 42 kann als Nachweis für die Einhaltung der Anforderungen nach den Absätzen 1 und 2 dieses Artikels herangezogen werden.

(3) Ein zugelassener Zertifizierungsmechanismus gemäß Artikel 42 kann als Element verwendet werden, um die Einhaltung der in den Absätzen 1 und 2 dieses Artikels festgelegten Anforderungen zu bestätigen.

Was ist das?

Datenschutz durch Design

Dies bedeutet, dass der für die Datenverarbeitung Verantwortliche sich verpflichtet, das Datenschutzsystem bereits in einem frühen Stadium seiner Konzeption in alle Geschäftsprozesse (einschließlich der Produkt- oder Serviceentwicklungsprozesse) zu integrieren und ein solches System auch in Zukunft kontinuierlich zu warten. Eingebauter Datenschutz in seinem Design ist eine Verpflichtung, den Schutz personenbezogener Daten im Voraus bei allen Handlungen, Unternehmungen und Entscheidungen des Unternehmens zu gewährleisten. Wenn Sie beispielsweise eine mobile Anwendung erstellen, müssen Sie mögliche Risiken im Zusammenhang mit der Vertraulichkeit analysieren und verhindern sowie Mechanismen für das Management solcher Risiken festlegen, bevor Sie Code schreiben.

Gemäß der Philosophie des Datenschutzes durch Design besteht der beste Weg, die mit der Vertraulichkeit verbundenen Risiken zu verringern, darin, sie nicht zu erstellen.

Datenschutz standardmäßig

Standardmäßig bedeutet Datenschutz, dass der Benutzer keine Maßnahmen ergreifen muss, um seine Privatsphäre zu schützen. Die Einstellungen zur Wahrung der Vertraulichkeit und dementsprechend zum Schutz seiner persönlichen Daten sind standardmäßig vorgenommen. Vorgesetzte sollten nicht automatisch davon ausgehen, dass der Benutzer dem Datenaustausch zustimmt. Nur Daten, die zur Erreichung bestimmter Verarbeitungsziele erforderlich sind, werden erhoben. Um diese Vertraulichkeit zu gewährleisten, sollten die Aufsichtsbehörden standardmäßig geeignete technische und organisatorische Maßnahmen ergreifen.

Das Kontrollkästchen für die Zustimmung des Benutzers zur Weitergabe seiner Daten an Dritte sollte nicht automatisch auf der Website im Benutzerprofil markiert werden. Der Benutzer muss dieses Kontrollkästchen selbst markieren und damit seine ausdrückliche Zustimmung erteilen (siehe ausdrückliche Zustimmung zu Artikel 4 Absatz 11, Artikel 6 Absatz 1 Buchstabe a und Artikel 7 DSGVO). Oder wenn zum Beispiel für die Benutzerregistrierung erforderliche Daten erfasst werden, sollte die Anwendung den Benutzer nicht dazu auffordern, Daten bereitzustellen, die für die Registrierung nicht erforderlich sind.

Je weniger Daten ein Unternehmen sammelt und verarbeitet, desto geringer ist das Risiko, gegen die DSGVO zu verstoßen.

Verlauf des Datenschutzes von Entwurf, Datenschutz standardmäßig

Nach Angaben des Europäischen Datenschutzbeauftragten (im Folgenden als EDSB bezeichnet) wurden die Begriffe „eingebauter Datenschutz“ und „Standarddatenschutz“ in den neunziger Jahren von Ann Cavoukian, Kommissarin für Information und Schutz personenbezogener Daten, entwickelt in der kanadischen Provinz Ontario. 2009 veröffentlichte sie Integrated Privacy: 7 Fundamental Principles ( Integrierter Datenschutz: 7 Grundprinzipien). Dies erklärt, dass „eingebetteter Datenschutz“ bedeutet, dass Unternehmen Datenschutzaspekte während ihres gesamten Datenlebenszyklus ab der Entwurfsphase aktiv berücksichtigen müssen. Dieser "Full Lifecycle Protection" stellt sicher, dass alle Daten sicher gespeichert und dann rechtzeitig vernichtet werden. Auf diese Weise bietet Privacy by Design ein kontinuierliches und sicheres Management des Datenlebenszyklus von Anfang bis Ende. In Übereinstimmung mit diesen Grundsätzen kann und sollte dieser Schutz handeln, ohne die Funktionalität des Unternehmens oder Systems zu beeinträchtigen.

Kavukyan entwickelte die folgenden Prinzipien:

1. Vorbeugende (proaktive) Maßnahmen, nicht nur Schadensbegrenzung
2. Standard-Datenschutz
3. Integrierter Datenschutz
4. Volle Funktionalität zum beiderseitigen Nutzen
5. Schutz personenbezogener Daten während des gesamten Zyklus ihrer Sammlung, Speicherung, Verarbeitung und Zerstörung
6. Zugänglichkeit und Transparenz
7. Achtung der Privatsphäre des Benutzers: Das System sollte benutzerorientiert sein

Standardmäßiger Datenschutz bedeutet wiederum, dass das Prinzip des integrierten Datenschutzes standardmäßig in jedem System oder Unternehmen enthalten sein sollte - so dass personenbezogene Daten automatisch geschützt werden, ohne dass die betroffene Person etwas unternehmen muss. Eine Person sollte nicht gezwungen sein, Maßnahmen zum Schutz ihrer Privatsphäre zu ergreifen - alles ist standardmäßig in das System integriert.

Der EDSB erklärt, dass diese Standardeinstellung bedeutet, dass die betroffene Person die Last des Schutzes ihrer Daten bei der Nutzung von Diensten oder Produkten nicht tragen sollte. Das Recht auf Privatsphäre wird standardmäßig „automatisch“ geschützt.

Die von Kavukyan entwickelten Prinzipien "Privacy by Design" und "Privacy by Default" wurden bald vom europäischen Gesetzgeber als Standard im Bereich des Schutzes personenbezogener Daten übernommen.

Empfehlungsentwürfe
Europäischer Datenschutzausschuss 13. November 2019

Am 13. November 2019 veröffentlichte eine unabhängige Datenschutzbehörde auf europäischer Ebene, das European Data Protection Board (EDPB), Empfehlungsentwürfe zur Anwendung von Artikel 25 der DSGVO auf das eingebettete Datenschutzsystem. Diese Version ist nicht endgültig. Die EDPB akzeptiert Kommentare von interessierten Parteien bis zum 16. Januar 2020. Unter Berücksichtigung dieser Kommentare wird die endgültige Version der Empfehlungen veröffentlicht. Die Empfehlungen haben keine Gesetzeskraft, aber trotz ihres nicht normativen Charakters befolgen Datenschutzbehörden in den EU-Ländern und Unternehmen diese.

Im Folgenden sind die wichtigsten Punkte dieser Empfehlungen aufgeführt, die dazu beitragen, die Anforderungen von Artikel 25 der DSGVO richtig auszulegen und zu verstehen.

1. Datenschutz durch Design

• Die Aufsichtsbehörden können anhand von Leistungsindikatoren die Wirksamkeit von Maßnahmen nachweisen, die darauf abzielen, die Anforderung der integrierten Vertraulichkeit zu erfüllen. Zum Beispiel quantitative Indikatoren: eine Verringerung der Anzahl von Beschwerden, eine Verkürzung der Reaktionszeit auf Benutzeranfragen nach deren Vertraulichkeit. Oder Qualitätsindikatoren: Leistungsanalyse, Verwendung von Ratingskalen oder Expertenmeinungen.
• Technische oder organisatorische Maßnahmen können sowohl der Einsatz fortschrittlicher integrierter Technologien als auch die Grundschulung der Mitarbeiter sein, beispielsweise der Umgang mit den Daten betroffener Personen (Nutzer). Das heißt, es müssen keine komplexen Maßnahmen ergriffen werden - Hauptsache, die Maßnahmen wirken effektiv.
• Zu den Maßnahmen können gehören: die Möglichkeit für betroffene Personen, in die Verarbeitung ihrer Daten einzugreifen, eine Erinnerung an die Speicherung der Daten in der Datenbank, die Einführung eines Malware-Erkennungssystems und eine grundlegende Cyber-Hygiene.
• Ein Beispiel für eine technische Maßnahme: Datenpseudonymisierung (siehe Artikel 4 Absatz 5 DSGVO). Dies ist insbesondere Hashing und Verschlüsselung.
• Obwohl keine fortschrittlichen Technologien eingesetzt werden müssen, sollten Maßnahmen die Entwicklung von Technologien berücksichtigen ( „Stand der Technik“ ist das technologische Niveau einer Dienstleistung oder eines Produkts, das auf dem Markt vorhanden ist und am effektivsten zur Erreichung seiner Ziele beiträgt). Dies bedeutet, dass die Prüfer über den neuesten Stand der Technik informiert sein und geeignete organisatorische Maßnahmen ergreifen müssen. Das Fehlen adäquater organisatorischer Maßnahmen kann die Wirksamkeit der ausgewählten technischen Maßnahme beeinträchtigen oder sogar vollständig untergraben. Daher wird der Einsatz von Sicherheitssoftware mit bekannten Sicherheitslücken höchstwahrscheinlich nicht als Maßnahme angesehen, die moderne Technologien berücksichtigt.
• Artikel 25 Absatz 1 der DSGVO besagt, dass die Kosten der Umsetzung bei der Auswahl der anzuwendenden Maßnahmen berücksichtigt werden sollten. Die Empfehlungen verdeutlichen, dass solche Kosten im weitesten Sinne berücksichtigt werden sollten. Es geht also nicht nur um Bargeldkosten, sondern auch um Zeitkosten und Personal. „Die Nichtübernahme der Kosten rechtfertigt nicht die Nichteinhaltung der DSGVO-Anforderungen.“ EDPB warnt jedoch auch davor, dass die hohen Kosten der Technologie nicht bedeuten, dass sie unbedingt effektiv sind. In einigen Fällen können einfache kostengünstige Lösungen daher effektiver sein als teure Technologien.

2. Datenschutz standardmäßig

• Die Begriffe „technische und organisatorische Maßnahmen“ sind nur im Rahmen des Prinzips der Datenminimierung zu berücksichtigen, ebenso wie bei Privacy-by-Design.
• "Standardmäßig" in der Informatik bedeutet ein vorgewählter Wert, ein konfigurierbarer Parameter, der einem Computerprogramm oder Gerät zugewiesen wird. Laut EDPB ist es daher die Aufgabe des Controllers , „Standard-Datenschutz“ für die Erstellung von Voreinstellungen zu verwenden . Diese Voreinstellungen sollten insbesondere die Menge der erhobenen personenbezogenen Daten, den Grad ihrer Verarbeitung, die Haltbarkeit und die Verfügbarkeit regeln. Wenn es keine Standardeinstellungen gäbe, wären die betroffenen Personen mit verschiedenen Optionen überlastet, die sie nicht analysieren und verstehen können.
• Organisatorische Maßnahmen sollten auch darauf abzielen, dass von Anfang an ein Mindestmaß an personenbezogenen Daten verarbeitet wird oder nur personenbezogene Daten, die für bestimmte Vorgänge und Zwecke erforderlich sind.
• Solche Maßnahmen sollten die unnötige Verarbeitung personenbezogener Daten minimieren und den Zugriff auf personenbezogene Daten auf relevante Personen beschränken.

3. Die Verantwortung für die Einhaltung des Datenschutzes liegt standardmäßig beim für die Datenverarbeitung Verantwortlichen. EDPB betont jedoch, dass Verarbeiter und Lieferanten ebenfalls eine wichtige Rolle bei der Einhaltung der Grundsätze spielen . Controller übertragen häufig Daten zur Verarbeitung an einen Prozessor (z. B. einen Cloud-Dienstanbieter) oder erwerben technologische Lösungen für die Datenverarbeitung (z. B. ein Gerät, das die Verarbeitung biometrischer Daten ermöglicht). Diese Personen sind am besten in der Lage, die Risiken zu identifizieren, die mit personenbezogenen Daten im Rahmen der Nutzung eines Dienstes verbunden sind. Verarbeiter und Lieferanten sollten ihre Erfahrung nutzen, um Produkte zu entwickeln, die standardmäßig Datenschutz bieten. Beispiele für Herstellerentscheidungen: automatische Löschung von Daten nach einer bestimmten Zeit oder sofortige Pseudonymisierung von Daten nach der Erhebung.

4. Die Zertifizierung gemäß Artikel 42 der DSGVO kann auch verwendet werden, um die Einhaltung des Datenschutzes durch Design und des Datenschutzes standardmäßig nachzuweisen und einen Wettbewerbsvorteil auf dem Anbietermarkt zu erzielen. Es ist wichtig hinzuzufügen, dass es Zertifizierungsempfehlungen für Artikel 42, 43 der DSGVO gibt, die ebenfalls von der EDPB entwickelt wurden.

5. Die Empfehlungen enthalten auch praktische Beispiele für wichtige Aspekte des Datenschutzes (Privacy by Design, Privacy by Default): Transparenz, Rechtmäßigkeit, Integrität, Zweckbeschränkung, Genauigkeit, Beschränkung der Speicherung, Integrität und Vertraulichkeit.

Zum Beispiel präsentierte EDPB für das Element „Genauigkeit“ die folgende Situation und ihre mögliche Lösung:

Der für die Verarbeitung Verantwortliche ist eine medizinische Einrichtung, die nach Möglichkeiten sucht, die Integrität und Richtigkeit personenbezogener Daten in ihren Kundenregistern sicherzustellen. In Situationen, in denen zwei Personen gleichzeitig an der Einrichtung ankommen und die gleiche Behandlung erhalten, besteht die Gefahr von Fehlern, wenn der einzige Parameter, der sie unterscheidet, der Name ist. Um die Genauigkeit zu gewährleisten, benötigt der Controller eine eindeutige Kennung für jede Person und daher mehr Informationen als nur den Namen des Kunden. Die Einrichtung verwendet mehrere Systeme, die personenbezogene Informationen von Kunden enthalten, und sollte sicherstellen, dass die auf den Kunden bezogenen Informationen in allen Systemen zu jedem Zeitpunkt korrekt, genau und konsistent sind. Es wurden mehrere Risiken identifiziert, die auftreten können, wenn sich die Informationen in einem System ändern, in einem anderen jedoch nicht. Um die Risiken zu verringern, beschließt der Controller, eine Hash-Methode zu verwenden, um die Integrität der Daten in den Behandlungsunterlagen sicherzustellen. Permanente Hash-Signaturen werden für die Behandlungsunterlagen und den zugeordneten Mitarbeiter erstellt, damit Änderungen bei Bedarf erkannt, korreliert und nachverfolgt werden können.

Wie oben erwähnt, handelt es sich nicht um die endgültige Version der Empfehlungen. Sie müssen daher die Aktualisierung unter Berücksichtigung der Kommentare interessierter Parteien durchführen.

Groß fein unter art. 25 DSGVO

Das deutsche Immobilienunternehmen Deutsche Wohnen SE verhängte am 30. Oktober 2019 eine Geldbuße in Höhe von 14,5 Mio. € wegen fehlerhafter Datenspeicherung nur unter Hinweis auf Art. 25 Abs. 1 DSGVO. Das Unternehmen verwendete ein Archivierungssystem, um die persönlichen Daten der Mieter zu speichern, sodass nicht mehr benötigte Daten gelöscht werden konnten. Die personenbezogenen Daten der Mieter wurden ohne Überprüfung der Gültigkeit ihrer weiteren Speicherung gespeichert. So war es möglich, auf personenbezogene Daten zuzugreifen, die jahrelang gespeichert wurden, als sie nicht mehr dem Zweck ihrer ursprünglichen Erfassung dienten. Es wurden Informationen zur persönlichen und finanziellen Situation der Mieter, Gehaltsnachweise, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Daten zu Steuern, Sozialversicherung und Krankenversicherung sowie Kontoauszüge gespeichert .

Die Höchststrafe für Verstöße gegen Artikel 25 Absatz 1 der DSGVO beträgt 10 Millionen Euro oder 2% des Weltumsatzes. Nach den zuvor vom BBDI veröffentlichten Richtlinien (Berliner Beauftragte für Datenschutz und Informationsfreiheit) wurde eine Geldbuße von 14,5 Mio. € berechnet.

Auf dieser Website (GDPR Enforcement Tracker) können Sie Bußgelder und Strafen überwachen, die in der EU im Rahmen der GDPR verhängt werden.

Fazit

Artikel 25 der DSGVO stellt eine erhebliche Belastung für die Gewährleistung des standardmäßigen integrierten Schutzes und der Privatsphäre personenbezogener Daten dar. Um die Anforderungen dieser Norm zu erfüllen und hohe Bußgelder zu vermeiden, sollten die für die Verarbeitung Verantwortlichen analysieren, wie, wo und wann sie Informationen verarbeiten, und sicherstellen, dass das Recht auf Privatsphäre in jeder Phase der Verarbeitung berücksichtigt wird, beginnend mit der Gestaltung eines Produkts / einer Dienstleistung, einem neuen Geschäftsprozess. Dies sollte Folgendes beinhalten:

• Die Entwicklung eines Vertraulichkeitsprogramms für die gesamte Organisation, das festlegt, wo und wann personenbezogene Daten verarbeitet werden, und sicherstellt, dass jede Abteilung, die personenbezogene Daten verarbeitet, über einen Datenschutzplan verfügt.
• Ein Plan zum Schutz personenbezogener Daten, der Teil jedes neuen Geschäftsprozesses sein sollte, der die Verarbeitung personenbezogener Daten umfassen kann.
• Minimierung der Verarbeitung personenbezogener Daten (Verarbeitung nur der personenbezogenen Daten, die zur Erreichung der Verarbeitungsziele erforderlich sind).
• Pseudonymisieren oder verschlüsseln Sie Daten, wenn dies möglich ist.
• Gewährleistung der Transparenz bei der Verarbeitung personenbezogener Daten für betroffene Personen und Information der betroffenen Personen über die Verwendung ihrer personenbezogenen Daten.
• Bereitstellung von Möglichkeiten für betroffene Personen, ihre Rechte wahrzunehmen.
• Bleiben Sie auf dem neuesten Stand der Datenschutztechnologie, aktualisieren Sie Ihre Richtlinien und Datenschutzmethoden entsprechend.
• Befolgen Sie die Empfehlungen der EDPB.