Neue Richtlinien zu den Prinzipien des “Privacy by Design” und “Privacy by Default”

DSGVO für HR

Im Oktober 2020 veröffentlichte der Europäische Datenschutzausschuss neue Richtlinien zu den Prinzipien des “Privacy by Design” und des “Privacy by Default”. Dies entspringt der Überzeugung, dass die Privatsphäre und der Schutz persönlicher Daten grundlegend und notwendig sind, insbesondere bei der Definition und Entwicklung von Geschäftsprozessen.

Diese neuen Richtlinien beziehen sich insbesondere auf die Auslegung von Art. 25 der DSGVO und das Grundprinzip, dass der Entwickler die Prinzipien des Schutzes personenbezogener Daten und die damit verbundenen Rechte und Freiheiten vollständig verstehen muss, indem er geeignete Systeme und Schutzmaßnahmen entwickelt, die notwendig sind, um einerseits personenbezogene Daten und andererseits die Freiheit der Entwicklung zu schützen.
In den neuen Richtlinien werden die Prinzipien des eingebauten und des standardmäßigen Datenschutzes sowie Empfehlungen für Entwickler und Hersteller weiter ausgearbeitet, um die festgelegten Schutzziele zu erreichen, auch durch die Annahme von Ad-hoc-Zertifizierungen und Verhaltenskodizes.

Die Grundsätze des “Data Protection by Design” müssen umgesetzt werden, wenn der Eigentümer die Mittel für die Verarbeitung personenbezogener Daten festlegt. Dieser Zeitraum bezieht sich auf den Zeitpunkt, zu dem die Mittel, Methoden und Mechanismen, die bei der Durchführung der Verarbeitung verwendet werden, festgelegt werden. Zu diesem Zeitpunkt muss der Entwickler bereits alle Maßnahmen ergreifen, die für die wirksame Umsetzung von “Privacy by Design” erforderlich sind, wobei Faktoren wie der Stand der Technik, die Kosten der erforderlichen Implementierungen, die Art, der Zweck, der Kontext, das Ziel und das Risiko zu berücksichtigen sind. Es wird daher weiter betont, dass der Unternehmer im Rahmen einer Kosten-Nutzen-Analyse sofort das Ziel des “Privacy by Design” berücksichtigen muss, da es sicherlich viel teurer sein könnte, nachträglich einzugreifen, um einen bereits begonnenen Prozess zu korrigieren.

Wenn der Prozess einmal gestartet ist, muss der Entwickler immer noch den definierten Standard einhalten, auch unter Berücksichtigung des Risikoniveaus das sich während der Entwurfsphase ändern könnte und den Unternehmer dazu verpflichtet, die bereits implementierten Sicherheitsmaßnahmen neu zu bewerten.
Die neuen Richtlinien legen fest, dass diese Verpflichtung zur Wartung/Überwachung/Anpassung des Datenschutzsystems durch Design und Standard auch in Bezug auf bereits bestehende Systeme zur DSGVO verpflichtend ist, die somit den neuen Richtlinien entsprechen müssen.

“Standardmäßig” bezieht sich stattdessen auf die Auswahlmöglichkeiten, die in den Konfigurations- und Verarbeitungsoptionen eines Systems, z. B. einer Softwareanwendung, enthalten sind. Der für die Verarbeitung Verantwortliche muss zunächst die Gründe festlegen, warum personenbezogene Daten erhoben und gespeichert werden. Daraus folgt, dass der Eigentümer bei by default folgendes nicht kann:

  • mehr Daten sammeln als tatsächlich benötigt werden;
  • Aufbewahrung der Daten über einen längeren Zeitraum als nötig;
  • Verarbeitung von Daten zu anderen Zwecken als denen, die zuvor von der betroffenen Person genehmigt wurden.

Für den Fall, dass ein für die Datenverarbeitung Verantwortlicher Software von Drittanbietern verwendet, muss der für die Datenverarbeitung Verantwortliche vorab eine Risikobewertung des Produkts durchführen, um sicherzustellen, dass es den geltenden Vorschriften und den vom für die Datenverarbeitung Verantwortlichen festgelegten Zielen zum Schutz personenbezogener Daten entspricht. Generell sind betriebliche Abläufe so zu entwickeln, dass so wenig personenbezogene Daten wie möglich verarbeitet werden, um den angestrebten Zweck zu erreichen, auch in Bezug auf Berechtigungen und Zugriff auf die Software selbst.

Zusammenfassend definieren die neuen Richtlinien, wie ein effektives System der Umsetzung von technischen und organisatorischen Maßnahmen im Rahmen von Privacy by Default und by Design in der Identifizierung eines Systems der Dimensionierung und Minimierung von personenbezogenen Daten mit Bezug auf den spezifischen Zweck zusammengefasst werden kann.

Neue Richtlinien zu den Prinzipien des “Privacy by Design” und “Privacy by Default”

JDSGVO für HR

Im Oktober 2020 veröffentlichte der Europäische Datenschutzausschuss neue Richtlinien zu den Prinzipien des “Privacy by Design” und des “Privacy by Default”. Dies entspringt der Überzeugung, dass die Privatsphäre und der Schutz persönlicher Daten grundlegend und notwendig sind, insbesondere bei der Definition und Entwicklung von Geschäftsprozessen.

Diese neuen Richtlinien beziehen sich insbesondere auf die Auslegung von Art. 25 der DSGVO und das Grundprinzip, dass der Entwickler die Prinzipien des Schutzes personenbezogener Daten und die damit verbundenen Rechte und Freiheiten vollständig verstehen muss, indem er geeignete Systeme und Schutzmaßnahmen entwickelt, die notwendig sind, um einerseits personenbezogene Daten und andererseits die Freiheit der Entwicklung zu schützen.
In den neuen Richtlinien werden die Prinzipien des eingebauten und des standardmäßigen Datenschutzes sowie Empfehlungen für Entwickler und Hersteller weiter ausgearbeitet, um die festgelegten Schutzziele zu erreichen, auch durch die Annahme von Ad-hoc-Zertifizierungen und Verhaltenskodizes.

Die Grundsätze des “Data Protection by Design” müssen umgesetzt werden, wenn der Eigentümer die Mittel für die Verarbeitung personenbezogener Daten festlegt. Dieser Zeitraum bezieht sich auf den Zeitpunkt, zu dem die Mittel, Methoden und Mechanismen, die bei der Durchführung der Verarbeitung verwendet werden, festgelegt werden. Zu diesem Zeitpunkt muss der Entwickler bereits alle Maßnahmen ergreifen, die für die wirksame Umsetzung von “Privacy by Design” erforderlich sind, wobei Faktoren wie der Stand der Technik, die Kosten der erforderlichen Implementierungen, die Art, der Zweck, der Kontext, das Ziel und das Risiko zu berücksichtigen sind. Es wird daher weiter betont, dass der Unternehmer im Rahmen einer Kosten-Nutzen-Analyse sofort das Ziel des “Privacy by Design” berücksichtigen muss, da es sicherlich viel teurer sein könnte, nachträglich einzugreifen, um einen bereits begonnenen Prozess zu korrigieren.

Wenn der Prozess einmal gestartet ist, muss der Entwickler immer noch den definierten Standard einhalten, auch unter Berücksichtigung des Risikoniveaus das sich während der Entwurfsphase ändern könnte und den Unternehmer dazu verpflichtet, die bereits implementierten Sicherheitsmaßnahmen neu zu bewerten.
Die neuen Richtlinien legen fest, dass diese Verpflichtung zur Wartung/Überwachung/Anpassung des Datenschutzsystems durch Design und Standard auch in Bezug auf bereits bestehende Systeme zur DSGVO verpflichtend ist, die somit den neuen Richtlinien entsprechen müssen.

“Standardmäßig” bezieht sich stattdessen auf die Auswahlmöglichkeiten, die in den Konfigurations- und Verarbeitungsoptionen eines Systems, z. B. einer Softwareanwendung, enthalten sind. Der für die Verarbeitung Verantwortliche muss zunächst die Gründe festlegen, warum personenbezogene Daten erhoben und gespeichert werden. Daraus folgt, dass der Eigentümer bei by default folgendes nicht kann:

  • mehr Daten sammeln als tatsächlich benötigt werden;
  • Aufbewahrung der Daten über einen längeren Zeitraum als nötig;
  • Verarbeitung von Daten zu anderen Zwecken als denen, die zuvor von der betroffenen Person genehmigt wurden.

Für den Fall, dass ein für die Datenverarbeitung Verantwortlicher Software von Drittanbietern verwendet, muss der für die Datenverarbeitung Verantwortliche vorab eine Risikobewertung des Produkts durchführen, um sicherzustellen, dass es den geltenden Vorschriften und den vom für die Datenverarbeitung Verantwortlichen festgelegten Zielen zum Schutz personenbezogener Daten entspricht. Generell sind betriebliche Abläufe so zu entwickeln, dass so wenig personenbezogene Daten wie möglich verarbeitet werden, um den angestrebten Zweck zu erreichen, auch in Bezug auf Berechtigungen und Zugriff auf die Software selbst.

Zusammenfassend definieren die neuen Richtlinien, wie ein effektives System der Umsetzung von technischen und organisatorischen Maßnahmen im Rahmen von Privacy by Default und by Design in der Identifizierung eines Systems der Dimensionierung und Minimierung von personenbezogenen Daten mit Bezug auf den spezifischen Zweck zusammengefasst werden kann.