Plattform 9: Verbraucherpolitik in der digitalen Welt Fokusgruppe „Privacy by Design/Datenschutz durch Technik“ Thesenpapier zu Privacy by Design Stand: 10. November 2016 Vorbemerkung: Das Konzept des Privacy-by-Design und des Datenschutzes durch Technik ist eines der zentralen Elemente, um in einer zunehmend digitalisierten, vernetzten und vollautomatisierten Welt Selbstbestimmung und Datensouveränität der Nutzer und Verbraucher zu gewährleisten. Es geht dabei über rein technische Lösungen hinaus und betrifft auch organisatorische Fragen der Unternehmenspraxis, die angebotenen Dienste und letztendlich die Geschäftsmodelle. Die Datenschutzgrundverordnung hat Privacy-byDesign als ein Instrument des technischen und organisatorischen Datenschutzes festgeschrieben. Erkenntnisse: Die von der Fokusgruppe geführten Gespräche mit Unternehmen und die Podiumsdiskussion beim Bundesministerium der Justiz und für Verbraucherschutz am 6. Juni 2016 haben folgende Erkenntnisse gebracht: a) Alle befragten Unternehmen befassen sich – unabhängig von der Unternehmensgröße – mit organisatorischen und technischen Vorkehrungen, um den Datenschutz zu stärken. b) Dabei werden die Charakteristika des Privacy-by-Design durch die handelnden Unternehmen jeweils unterschiedlich stark gewichtet. c) Je nach Unternehmensphilosophie gehen einige Unternehmen dabei über das gesetzlich vorgeschriebene Maß des Datenschutzes hinaus. d) Es gibt Unterschiede zwischen solchen Unternehmen, die ein an sich analoges Geschäftsmodell lediglich in einen digitalen Referenzrahmen setzen, und solchen Unternehmen, bei denen die Datenverarbeitung Kern des Geschäftsmodells ist. e) Weitere Unterschiede im Umgang mit Privacy-by-Design sind je nach der Geschäftsorientierung (Verbraucherbezug oder Geschäftskundenfokus) auszumachen. Thesen: Auf Basis der Erkenntnisse der Gespräche mit den Firmen hat die Fokusgruppe folgende Thesen entwickelt: 1 1. Damit das Konzept des Privacy-by-Design sinnvoll angewandt werden kann, muss es in den einzelnen Anwendungsfeldern gedacht und operationalisiert werden. Dies gilt besonders dann, wenn im jeweiligen Anwendungsfeld Standards etabliert werden. Vor diesem Hintergrund ist eine konkrete Ausgestaltung des Prinzips anzustreben, was differenziert erfolgen kann, da Anwendungsfelder und -kontexte variieren und sich Geschäftsmodelle unterscheiden. 2. Bei der Planung der Datenverarbeitung ist zu beachten, ob und inwieweit Personenbezüge überhaupt erforderlich sind, ob bereits eine anfängliche Anonymisierung erfolgen kann oder wenigstens eine frühzeitige Pseudonymisierung alternativ möglich ist und so eine Zuordnung zumindest erschwert wird. 3. Dabei müssen die unterschiedlichen Prinzipien des Privacy-by-Design1 im Lichte der Herausforderungen einer modernen Informationsgesellschaft differenziert betrachtet und gewichtet werden, um die von der Datenschutzgrundverordnung vorausgesetzten Grundsätze2 jeweils bestmöglich umzusetzen. 4. Wirtschaft, Politik und Forschung sind gleichermaßen in der Pflicht, die Weiterentwicklung technisch-organisatorischer Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen voranzutreiben. Der Stand des technisch-organisatorischen Datenschutzes muss mit dem Grad der Digitalisierung der übrigen Lebensbereiche Schritt halten. 5. Die Datenschutzaufsichtsbehörden sollten zusätzlich personell in die Lage versetzt werden, die Privatwirtschaft und öffentliche Stellen bei Bedarf bei der Entwicklung von Privacy-by-Design-Konzepten zu beraten. Insgesamt ist bei der Aufsicht auf eine einheitliche Auslegung der rechtlichen Vorgaben der Datenschutzgrundverordnung hinzuwirken. 6. Wichtig ist darüber hinaus die Entwicklung von branchenspezifischen BestPractices oder Codes of Conduct, internationalen Standards und Interoperabilitäten. Diese erlauben es, Privacy-by-Design-Maßnahmen sowie das Datenschutzniveau von Produkten und Dienstleistungen zu vergleichen. Standardisierte Verfahren und die Möglichkeit der automatisierten Prüfung sind insbesondere für die Zertifizierung dieser Produkte und Prozesse sowie eine effektive Aufsicht relevant. In Standardisierungsgremien sollte diesbezüglich darauf geachtet werden, Datenschutzexperten einzubinden. Eine verstärkte Partizipation deutscher und europäischer Akteure wird ausdrücklich begrüßt. Siehe Interview-Leitfaden im Anhang Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit 2 7. Zu Privcay-by-Design gehören unverzichtbar datenschutzfreundliche Vor- und Grundeinstellungen (Privacy-by-Default). 8. Eine wichtige Ergänzung zu Privacy-by-Design sind elektronische Maßnahmen und Programme zum Selbstdatenschutz. Ein Beispiel hierfür sind Werkzeuge zur Anonymisierung des Nutzerverhaltens im Internet, angefangen von effektiven „do-not-track“-Funktionen bis hin zu einem individuellen Präferenzmanagement. Über Möglichkeiten, entsprechende Tools zu installieren, müssen Verbraucher stärker aufgeklärt werden. Solche Ansätze können keine datenschutzfreundlichen Voreinstellungen ersetzen, aber ergänzen. 9. Nur die Informationen sollen über die Nutzer abgefragt und/oder weitergegeben werden, die für den Zweck der Datenerhebung unbedingt erforderlich sind. Dies kann z.B. über „attributbasierte Berechtigungsnachweise“ erfolgen. Abgefragt werden dabei nicht mehr alle Details, sondern lediglich bestimmte Eigenschaften (z.B. Volljährigkeit statt Alter). 10. Mit dem Internet der Dinge und Diensten wie Heimautomation, Gesundheitsanwendungen, „smarten Fernsehern“, autonomen Fahrzeugen dringt die Digitalisierung in immer mehr Lebensbereiche vor. Hier ergibt sich das besondere Erfordernis, Privacy-by-Design zu verankern, indem dem Verbraucher die Möglichkeit gegeben wird, autonom darüber zu entscheiden, welche Daten wo gespeichert oder verarbeitet werden (z.B. durch Verarbeitung auf dem Gerät des Verbrauchers einschließlich lokalem Backup, oder die aggregierte oder unmittelbare Weitergabe an den Anbieter). Die Grundfunktionalitäten dieser Geräte, die bisher im Alltag typischerweise ohne eine Vernetzung möglich waren, müssen auch weiterhin ohne Datenflüsse nutzbar sein. Wichtig ist besonders eine transparente Information über die Vernetzung bzw. die Übertragung personenbezogener Daten. 11. Es sollte geprüft werden, inwieweit die Nichteinhaltung von Privacy-by-DesignGrundsätzen und diesbezüglichen Sicherheitsstandards bei Produkten und Services ein Sachmangelkriterium darstellt und die entsprechenden Gewährleistungsrechte begründet. 12. Zertifizierungen können ein sinnvolles Mittel sein, um den Verbraucherinnen und Verbrauchern zu zeigen, dass die Anforderungen an das Privacy-by-Design eingehalten werden. Oft sind Zertifizierungen in ihrer jetzigen Ausgestaltung zu starr und zu wenig an den Produkten und dem jeweils nötigen Schutz der personenbezogenen Daten orientiert. Es wäre daher wünschenswert, wenn vermehrt zur Zertifizierung von Privacy-by-Design differenzierte Ansätze genutzt werden würden, um die mit den Datenverarbeitungsprozessen verbundenen Risiken produktspezifisch und unternehmensindividuell in den Blick nehmen zu können. 13. Die Fokusgruppe empfiehlt zu prüfen, inwieweit eine stärkere Förderung der Entwicklung und Auditierung datenschutzfreundlicher FOSS (Free and OpenSource) Projekte möglich ist. Anhang Prinzip Umsetzung durch Maßnahmen der Redundanz Verfügbarkeit Fallback/Backup/Reparaturstrategien Recht auf Datenportabilität (Art. 20 DS-GVO) Kontinuierliche Integritätsprüfung Integrität Hashwert-Checks zum Erkennen von anormalen Veränderungen Manipulationsgesichertes Logging Abschottungsmaßnahmen Verschlüsselung (z.B. Ende-zu-Ende; Transport; Storage Privacy) Anonymisierung & Pseudonymisierung (Klarnamenproblematik) Nachvollziehbarkeit Rollenbasiert beschränkte Zugriffsrechte Sichere Anmeldeverfahren Vertraulichkeit Planung, Nachvollziehbarkeit, Überprüfung, Bewertung Transparenz Datensparsamkeit und -vermeidung methodisches Projektmanagement Dokumentation der IT-Infrastruktur Dokumentation von Rollen und Rechtemanagement Unterrichtung / Unterrichtungspflicht der Betroffenen Information abgestimmt auf Benutzerhorizont (Detailgrad wählbar?) Kontaktstelle für Auskunft „attributbasierende Berechtigungsnachweise“ (ermöglicht pseudonyme Nutzung plattformübergreifend) Strikte Umsetzung des Grundsatzes „Verbot mit Erlaubnisvorbehalt“; im Zweifel stets ausdrückliche Einwilligung des Nutzers erbitten Maßnahmen, die die Zweckentfremdung erschweren Nichtverkettbarkeit Löschung von Daten nach Funktionserfüllung technische Vorkehrungen zur Einhaltung des Zweckbindungsgrundsatzes Datenminimierung Datenschutzfreundliche Voreinstellungen (privacy by default) Verzicht auf Metadatenerhebung feingranulare statt pauschale Einwilligungen Maßnahmen, die die unnötige/nachträgliche Zusammenführung von Daten erschweren Aufteilung auf getrennte Datenbanken Getrennte Speicherung von identifizierenden Daten Verwendung mehrerer Pseudonyme Nutzbarkeit/Verständlichkeit von Konfigurationsoptionen und Beschwerdemanagement Anwenderkontrolle über Daten zum Zweck des einzelfallbezogenen Datenzugriffs (einsehbar, änderbar, korrigierbar, sperrbar, löschbar) Recht auf Vergessenwerden (Art. 17 DS-GVO) Überprüfung/Überprüfbarkeit automatisierter (Einzel-) Entscheidungen Intervenierbarkeit
© Copyright 2024 ExpyDoc
