Europa auf dem Weg zu mehr Datenschutz ohne (noch mehr) staatlichen Eingriff? Warum wir weniger Regulierung und mehr "Privacy by Design" brauchen.
Datenschutz durch Technik, dafür steht die Bezeichnung „Privacy by Design″. Doch was steckt dahinter? Die Idee ist, dass Hersteller von Hard- und Software bereits von vornherein Datenschutz als wichtiges Prinzip in der Produktentwicklung berücksichtigen.
Denn immer mehr Geräte und Anwendungen sammeln Daten. Zu diesen Geräten gehören auch z.B. Wearables, die das Verhalten ihrer Träger umfassend vermessen, oder Set-Top-Boxen, die die Mediennutzung des Anwenders analysieren.
Technologischer Wandel lässt Staat mitunter „hinterherlaufen“
Eine weitere Verrechtlichung des Datenschutzes könnte vermieden werden, wenn Hersteller und Entwickler bereits auf konzeptioneller Ebene versuchen, so minimalinvasiv wie nur denkbar in die informationelle Selbstbestimmung des Einzelnen einzugreifen.
Der technologische Wandel und die immer mehr Lebensbereiche erfassende Digitalisierung führen ebenfalls dazu, dass ein bloß regulierender Ansatz mit diesen Entwicklungen nicht mehr Schritt halten kann. Täglich entstehen in den Entwicklungsabteilungen der Hard- und Softwarehersteller neue Geräte und Programme, die durch neue Arten der Datensammlung und Datenverwertung auch neue Funktionen für die Nutzer zur Verfügung stellen.
Der Gesetzgeber erfährt von diesen neuen Technologien erst nach deren Markteinführung und kann dann nur nachträglich wieder regulierend auf bereits im Markt befindliche Produkte durch neue Regelungen Einfluss nehmen. Der Staat müsste sich also immer wieder in innovative Techniken einmischen. Das führt zu Unmut und Mehrkosten auf Seiten der Hersteller, die diese neuen Anforderungen dann nachträglich in ihre Produkte implementieren müssen.
Gefahrenpotenziale durch proaktive Technikgestaltung verringern
Das Ziel ist daher, das Gefahrenpotenzial für die Daten des Einzelnen durch proaktive Technikgestaltung zu verringern. Nach dem Grundsatz von „Privacy by Design“ soll der Umfang der Datenerhebung so minimal wie möglich gehalten werden.
Durch proaktiven Datenschutz soll die Notwendigkeit verringert werden, Produkte im Nachhinein zur Sicherung der Einhaltung datenschutzrechtlicher Vorgaben wieder ändern zu müssen. Bereits im Voraus sollen die Hersteller also bei Entwicklung von Hard- und Software Datenschutzfunktionen implementieren und hierdurch datenschutzkritische Entwicklungen antizipieren.
Das proaktive Herangehen führt auch dazu, dass sich ein ökonomischer Vorteil ergeben kann, wenn die Hersteller nicht nachträglich ihre Produkte aufgrund neuer anwendbarer Gesetze anpassen müssen. Vor allem aber soll der Nutzer einer Software oder eines Geräts über Privacy by Design Funktionen selbst die Hoheit über seine eigenen Daten ausüben können. Er soll über unterschiedliche Einstellungen selbst entscheiden, welche Funktionen er nutzen und welche Daten er preisgeben möchte.
§ 3 a BDSG – Grundlage für „Privacy by Design“ oder „zahnloser Tiger“?
Eigentlich könnte der § 3 a BDSG bereits ein wichtiger Baustein für den Grundsatz von „Privacy by Design“ sein. Hiernach legt der deutsche Gesetzgeber unter der Überschrift „Datenvermeidung und Datensparsamkeit“ zum Beispiel fest, dass die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sowie die Auswahl und Gestaltung von Datenverarbeitungssystemen an dem Ziel auszurichten sind, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen.
Die Gestaltung der Datenverarbeitungsvorgänge ist ein wichtiger Baustein von „Privacy by Design“. Doch immer wieder wurde kritisiert, dass sich der Grundsatz von „Privacy by Design“ durch § 3 a BDSG nicht nachhaltig im Markt verankern lässt. Ein Grund hierfür ist auch, dass § 3 a BDSG keine Sanktionen für dessen Nichtberücksichtigung festlegt.
Europäische Datenschutzgrundverordnung – ein Grundstein für mehr „Privacy by Design“?
Mit der Datenschutzgrundverordnung (auch „DSGVO“) könnte es Änderungen geben. Denn auch der europäische Gesetzgeber hat die Notwendigkeit von mehr „Privacy by Design“ und die hieraus resultierenden positiven Effekte erkannt. Nach langwierigen Verhandlungen wurde die Datenschutzgrundverordnung durch das Europäische Parlament im April 2016 endlich verabschiedet. Geltung wird sie nach Art. 99 Abs. 2 DSGVO aber erst am 25. Mai 2018 entfalten.
Beispielsweise hatte die Europäische Agentur für Netz- und Informationssicherheit (ENISA) im Vorfeld der Beratung und Gestaltung der Richtlinie bereits das Thema „Privacy by Design“ auf die Tagesordnung gesetzt. ENISA war der Ansicht, dass die Politik mehr Anreize für „Privacy by Design“ schaffen solle – sei es durch Veröffentlichung von Positivbeispielen oder der besseren Publikation von Forschungsergebnissen, die im Feld von „Privacy by Design“ von Relevanz sein könnten. Auch die Verzahnung verschiedener Datenschutzfunktionen, so die Agentur, solle weiter vorangetrieben werden.
Europa hat sich diese Forderungen zumindest teilweise zu Herzen genommen. Art. 25 der Datenschutzgrundverordnung sieht vor, dass Datenschutz von vornherein in Prozesse, Systeme und Produkte eingebaut werden muss. Durch die Vorschrift werden ausdrücklich Anforderungen niedergelegt, die Einfluss auf die Produktentwicklung und Produktimplementierung haben und dadurch die Umsetzung der Prinzipien „Privacy by Design“ und auch „Privacy by Default“ erreichen sollen. So müssen geeignete technische und organisatorische Maßnahmen getroffen werden, die dafür ausgelegt sind, die Grundsätze des Datenschutzes wie etwa Datenminimierung wirksam umzusetzen. Wird Art. 25 der Datenschutzgrundverordnung nicht beachtet, drohen Geldbußen.
Auch sollen Garantien in die Verarbeitung aufgenommen werden, um den Anforderungen der Datenschutzgrundverordnung zu genügen und die Rechte der betroffenen Personen zu schützen. Standardeinstellungen müssen darauf ausgerichtet sein, dass personenbezogene Daten nur verarbeitet werden, wenn dies für den konkreten Zweck auch erforderlich ist. Betroffen ist davon der Umfang der erhobenen Daten, aber auch der Umfang der darauf aufbauenden Verarbeitung nebst Speicherfristen und die Zugänglichkeit der Daten.
Mehr Datenschutz für alle?
Europa hat damit einen Grundstein für mehr „Privacy by Design“ gelegt. In welchem Umfang dieses Prinzip damit tatsächlich über die Produktentwicklung in Hard- und Software Eingang finden wird, muss sich zeigen. Wenngleich bis zur Geltung der Datenschutzgrundverordnung am 25. Mai 2018 noch Zeit bleibt, sollten betroffene Unternehmen sich schon jetzt mit den künftigen Anforderungen auseinandersetzen.
Ohnehin wird der Grundsatz auch bis zum Inkrafttreten eine immer wichtigere Rolle in der Produktentwicklung spielen. Die immer wieder auftretenden Datenpannen und die Tatsache, dass Produkte eben auch immer mehr Daten sammeln, führen auch auf Verbraucherseite dazu, dass Produkte nachgefragt werden, die sensibel mit ihren Daten umgehen. Auch aufgrund dieser Nachfragesituation wird „Privacy by Design“ auch schon vor dem Inkrafttreten der Datenschutzgrundverordnung eine immer wichtigere Rolle spielen und zur Abgrenzung gegenüber anderen Herstellern dienen.
Sehen Sie auch das Video aus der Edge Reihe zum Thema „Wie smart gehen Wearables mit Personendaten um?„.