Datenschutz funktioniert am besten, wenn du ihn von Anfang an berücksichtigst, nicht wenn du ihn im Nachhinein anflanschst. Das ist der Kern zweier DSGVO-Pflichten: Privacy by Design (Datenschutz durch Technikgestaltung) und Privacy by Default (durch datenschutzfreundliche Voreinstellungen). Sie klingen technisch, betreffen aber jeden, der einen neuen Prozess, ein Formular oder ein System mitgestaltet.
Was bedeuten die beiden Begriffe?
Privacy by Design bedeutet, dass du Datenschutz vom ersten Entwurf eines Produkts, einer Dienstleistung oder eines Prozesses an mitdenkst. Du überlegst vorab, welche Daten wirklich nötig sind und wie du sie schützt, statt im Nachhinein Lücken zu stopfen.
Privacy by Default bedeutet, dass die Voreinstellung die datenschutzfreundlichste ist. Ein neuer Nutzer sollte ohne jede Anpassung bereits gut geschützt sein, etwa weil ein Profil nicht automatisch öffentlich ist.
Ein konkretes Beispiel
Angenommen, du gestaltest ein neues Anmeldeformular. Privacy by Design heißt, dass du dich fragst, welche Felder wirklich nötig sind, und die überflüssigen weglässt. Privacy by Default heißt, dass ein Häkchen für den Newsletter standardmäßig aus ist, nicht an.
Dieselbe Denkweise gilt für einen geteilten Ordner (standardmäßig beschränkter Zugriff), eine neue App (nur die nötigen Rechte) oder eine Umfrage (anonym, wo es geht).
Warum das klug ist, nicht nur Pflicht
Datenschutz vorab einzubauen ist günstiger und wirksamer als ihn im Nachhinein zu reparieren. Eine Lücke in einem laufenden System zu stopfen kostet mehr Zeit, Geld und Risiko als eine gute Entscheidung beim Entwurf.
Außerdem verhindert es Datenpannen: Daten, die du bewusst nicht erhebst oder die standardmäßig gut geschützt sind, können nicht einfach nach außen gelangen. Es ist Datenminimierung und Sicherheit, vereint im Entwurf.
Was du tun kannst
Auch ohne Entwickler zu sein, kannst du beitragen:
- Frag bei jedem neuen Prozess: welche Daten brauchen wir wirklich?
- Wähle die datenschutzfreundliche Voreinstellung, auch wenn die weniger sichere Option einfacher ist.
- Beziehe die datenschutzverantwortliche Person früh ein, nicht erst kurz vor dem Go-live.
- Denk an eine Datenschutz-Folgenabschätzung (DSFA) bei Verarbeitungen mit hohem Risiko.
So verankerst du das in deinem Awareness-Programm
Das ist Material für alle, die Prozesse und Projekte gestalten; segmentiere auf diese Zielgruppe.
- Richte dieses Modul auf Projektleitungen, Prozessverantwortliche und Einkauf.
- Baue die Frage 'welche Daten brauchen wir wirklich?' als festen Teil jedes Projektstarts ein.
- Verknüpfe es mit deinem DSFA-Prozess und beziehe die datenschutzverantwortliche Person früh ein.
- Biete Vertiefung über unseren Kurskatalog.
Verwandte Artikel
- Datenminimierung in der Praxis: erhebe nur, was nötig ist
- Datenschutz-Implikationen KI-gesteuerter Plattformen
FAQ
Was ist Privacy by Design?
Datenschutz durch Technikgestaltung: du berücksichtigst Datenschutz vom ersten Entwurf eines Produkts, einer Dienstleistung oder eines Prozesses an, statt im Nachhinein Lücken zu stopfen. Es steht in Artikel 25 der DSGVO.
Was ist Privacy by Default?
Datenschutz durch Voreinstellungen: die Voreinstellung ist die datenschutzfreundlichste Option. Ein Nutzer ist ohne jede Anpassung bereits gut geschützt, etwa weil ein Profil nicht automatisch öffentlich ist.
Gilt das nur für IT-Leute?
Nein. Jeder, der ein neues Formular, einen Prozess oder ein System mitgestaltet, kann beitragen: indem er weniger Daten abfragt und die datenschutzfreundliche Voreinstellung wählt. Die Technik folgt diesen Entscheidungen.
Wann ist eine DSFA nötig?
Bei Verarbeitungen mit hohem Risiko für die Rechte und Freiheiten von Menschen, etwa umfangreicher Profilbildung. Eine DSFA gehört zu Privacy by Design: du beurteilst das Risiko, bevor du beginnst.
Warum vorab und nicht im Nachhinein?
Datenschutz vorab einzubauen ist günstiger, wirksamer und risikoärmer als ihn im Nachhinein zu reparieren. Daten, die du bewusst nicht erhebst oder die standardmäßig geschützt sind, können nicht einfach nach außen gelangen.