TOM Technikgestaltung technische organisatorische Maßnahmen private nutzung kommunikationsmittel supportende windows 7

Datenschutz durch Technikgestaltung im Rahmen der DSGVO

/von

In unserem Artikel „Die Rechenschaftspflicht nach der DSGVO und Penetrationstests“ haben wir bereits darauf hingewiesen, dass die Verpflichtungen zur Gewährleistung der IT-Sicherheit durch die DSGVO im Vergleich zum BDSG erheblich an Bedeutung gewonnen haben.

Der Grundgedanke, den technischen Datenschutz in IT-Systeme zu integrieren, ist allerdings nicht ganz neu. Im Erwägungsgrund 46 der Richtlinie 95/46 der Europäischen Union wird bereits darauf verwiesen, dass sowohl zum Zeitpunkt der Planung eines Verarbeitungssystems als auch zum Zeitpunkt der Durchführung der Verarbeitung, geeignete technische und organisatorische Maßnahmen zu treffen sind, um insbesondere die Sicherheit zu gewährleisten.

Die TOM mal wieder

So sind in § 9 BDSG und den entsprechenden Anlagen bereits die Anforderungen in Bezug auf die Implementierung geeigneter technischer und organisatorischer Maßnahmen (kurz: TOM) mit konkreten Verpflichtungen in Form von „8 Geboten“ enthalten.

Mit Art. 32 DSGVO werden diese Verpflichtungen neu definiert, mit der Zielsetzung, ein angemessenes Schutzniveau durch die Implementierung geeigneter TOM unter Berücksichtigung

  • des Stands der Technik
  • der Implementierungskosten
  • der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie
  • der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die persönlichen Rechte und Freiheiten

zu gewährleisten.

Neben der Neustrukturierung und der Konkretisierung bzw. Verfeinerung von bisherigen Bestimmungen ist neu, dass sich gemäß DSGVO die TOM auch nach dem Zweck der Verarbeitung, sowie nach dem Stand der Technik zu richten haben. Zudem ist künftig gemäß Art. 32 Abs. 1 DSGVO bei der Planung und Umsetzung von TOM das von dem Datenverarbeitungsverfahren ausgehende Risiko zur Beeinträchtigung von Persönlichkeits- und Freiheitsrechten zu berücksichtigen und das eventuell vorhandene Risiko mittels einer Datenschutz-Folgenabschätzung vor Inbetriebnahme der Verfahren zu bewerten.

Mit Art. 25 DSGVO werden die Vorgaben an TOM um die folgenden neuen Anforderungen erweitert: 

Privacy by Design

Privacy by Design (Datenschutz durch Technikgestaltung) bedeutet, dass bereits bei der Planung und Entwicklung von IT-Systemen die Ziele des Datenschutzes und der Datensicherheit zu berücksichtigen sind, mit der Intention, dass die zu entwickelnden bzw. einzuführenden Datenverarbeitungsprozesse schon „von Haus aus“ datenschutzfreundlich sind. Dies kann beispielsweise dadurch erreicht werden, dass bestimmte Datenverarbeitungen verhindert oder zumindest sicher ausgestaltet werden. Bereits bei der Herstellung sollten demnach die technischen Möglichkeiten, wie die Aktivierung bzw. Deaktivierung von Funktionalitäten, die Anonymisierung und Pseudonymisierung, die Authentisierung und Authentifizierung oder Verschlüsselungen berücksichtigt werden.

Im Ergebnis sind IT-Systeme derart herzustellen, dass sie einerseits die Sicherheit sowie die Privatsphäre der Nutzenden schützen und andererseits den Anwendenden die Kontrolle über die eigenen Informationen bzw. Daten geben.

Privacy by Default

Nach dem Grundsatz der Datenvermeidung und Datensparsamkeit sind Datenverarbeitungssysteme an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Mit Privacy by Default (datenschutzfreundliche Voreinstellungen) wird deshalb die Absicht verfolgt, dass sich IT-Systeme durch Voreinstellungen auf das zur Erfüllung des Vertragszwecks erforderliche Maß beschränken und dementsprechend nur diejenigen personenbezogenen Daten verarbeitet werden, die für den verfolgten Zweck auch erforderlich sind. Wesentliche Elemente der Datensparsamkeit sind die Trennung personenbezogener Identifizierungsmerkmale und der Inhaltsdaten, die Verwendung von Pseudonymen und Anonymisierung sowie die Löschung personenbezogener Daten sobald diese zur Erreichung des verfolgten Zwecks nicht mehr benötigt werden.

Außerdem sollten eventuell erforderliche Einwilligungen erst dann eingeholt werden, wenn diese auch tatsächlich benötigt werden und die weitere Datenverarbeitung sollte ohne erteilte Einwilligung technisch unterbunden sein.

Was sollte beachtet werden?

Neben den bereits erwähnten Art. 32 und 25 DSGVO findet man weitere Vorgaben für die Entwicklung bzw. Einführung von IT-Systemen u.a. in den Art. 38 Abs. 1 DSGVO („Einbindung Datenschutzbeauftragte“), Art. 35 DSGVO („Datenschutz-Folgenabschätzung“) oder auch Art. 36 DSGVO („Vorherige Konsultation der Aufsichtsbehörde“).

Eine wertvolle Orientierungshilfe zur Umsetzung der oben genannten Verpflichtungen bieten die grundlegenden Prinzipien von Ann Cavoukian, die sie bereits in den 1990er Jahren unter der Bezeichnung „Privacy by Design“ aufgestellt hat. Diese sind:

  1. Proaktiv, nicht reaktiv als Vorbeugung und nicht als Abhilfe
  2. Datenschutz als Standardeinstellung („Privacy by Default“)
  3. Der Datenschutz ist in das Design eingebettet
  4. Volle Funktionalität – eine Positivsumme, keine Nullsumme
  5. Durchgängige Sicherheit – Schutz während des gesamten Lebenszyklus
  6. Sichtbarkeit und Transparenz – Für Offenheit sorgen
  7. Die Wahrung der Privatsphäre der Nutzer – Für eine nutzerzentrierte Gestaltung sorgen

Fazit

Die im Mai 2018 in Kraft tretende DSGVO fordert “Datenschutz durch Technikgestaltung”. Die Ziele des Datenschutzes müssen also künftig schon beim Design eines Systems berücksichtigt werden, mit dem Ziel, neben der Sicherheit auch die Privatsphäre zu erhöhen. Betroffene Unternehmen sind deshalb gut beraten, sich bereits jetzt mit den künftigen Datenschutz- und Sicherheitsanforderungen intensiv auseinanderzusetzen, insbesondere vor dem Hintergrund möglicher Sanktionsmaßnahmen in Form von Bußgeldern in Höhe von bis zu EUR 10.000.000 bzw. von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs (sofern höher).

Sind Sie im Rahmen von Entwicklungen oder Einführungen neuer IT-System mit dem Thema “Datenschutz durch Technik” konfrontiert? Sprechen Sie uns an! Gerne unterstützen wie Sie bei der Ausgestaltung der Details auf Basis unserer langjährigen Erfahrungen in den Bereichen Software-Engineering und Datenschutz.


Diesen Beitrag teilen

Das könnte Dich auch interessieren
bdsg-neu abdsg recht gesetz ldsg bdsg landesdatenschutzgesetz bundesdatenschutzgesetz datenschutzbeauftragter besondere arten kategorien personenbezogener daten ds-gvo bundesrat bundestag ausweis kopieren scannen pauswg personalausweisgesetz beschäftigtendatenschutz abmahnung eprivacy-verordnung epvo stberg steuerberater auftragsverarbeitungAbmahnungen wegen Verstößen gegen die DSGVO
e-mail verschlüsselung ao bfdi datenschutz schulung sensibilisierung datenschutzhinweiseSensibilisierung der Beschäftigten – Pflicht oder Kür?
aufsichtsbehörden dsk datenschutzkonferenz entschließung göttinger erklärung kündigungsschutz datenschutzbeauftragter verzeichnis verarbeitungstätigkeiten vvt vertrag 61bNutzung öffentlich zugänglicher Verzeichnisse für Werbung
telefax vertraulichkeitVertraulichkeit bei der Verwendung von Telefax
aufsichtsbehörden dsk datenschutzkonferenz entschließung göttinger erklärung kündigungsschutz datenschutzbeauftragter verzeichnis verarbeitungstätigkeiten vvt vertrag 61bStartet nun die prophezeite DSGVO Bußgeldwelle?
rechtsgrundlage lebenswichtige interessen übermittlung an anwalt rechtsverteidigung rechtsdurchsetzung bem einwilligungSerie Rechtsgrundlagen: Die lebenswichtigen Interessen nach Art. 6 Abs. 1 lit. d DSGVO