Privacy by Design

Wie Datenschutz-Tools bei der Entwicklung helfen

| Autor / Redakteur: Oliver Schonschek / Stephan Augsten

Als Entwickler sollte man „Privacy by Design“ von Anfang an berücksichtigen und aktuelle Datenschutz-Anforderungen auf dem Schirm haben.
Als Entwickler sollte man „Privacy by Design“ von Anfang an berücksichtigen und aktuelle Datenschutz-Anforderungen auf dem Schirm haben. (Bild: typographyimages - Pixabay.com / CC0)

Datenschutz fängt bei der Entwicklung an. Privacy by Design ist deshalb nicht nur in der Datenschutz-Grundverordnung (DSGVO) verankert, auch Software-Nutzer fordern es. Wir geben einen Überblick, wie sich das Design-Prinzip praktisch umsetzen lässt.

Datenschutz bedeutet Kundenbindung

Datenschutz klingt in manchen Ohren wie eine Spaßbremse, ein Verhinderer des digitalen Business. Warum also sollte man sich damit befassen? Ganz einfach: Weil die Kunden, die Nutzer es so wollen.

Wie der „Gemalto 2016 Data Breaches and Customer Loyalty Report“ ergab, würden 66 Prozent der Kunden wahrscheinlich keine Geschäfte mehr mit Organisationen machen, wenn diese für den Verlust von Finanzinformationen und sensible Daten verantwortlich wären. Die Mehrzahl der Teilnehmer erklärt, dass sie die Dienste eines Shops (60 Prozent), einer Bank (58 Prozent) oder eines Social-Media-Portals (56 Prozent) nicht mehr in Anspruch nehmen würden, wenn sich dort eine Sicherheitspanne ereignet hätte. Wer sich mit Datenschutz und „Privacy by Design“ befasst, kümmert sich also um Kundenwünsche.

Was Privacy by Design bedeutet

Das Prinzip „Privacy by Design“ klingt wie eine Design- und Entwicklungsvorgabe, es ist aber eine strenge, rechtliche Anforderung an Produkte und Lösungen. Viele Unternehmen sind gegenwärtig in der Vorbereitung auf die EU-Datenschutz-Grundverordnung (EU-DSGVO bzw. -GDPR), für die Produktentwicklung geht es dabei insbesondere um „Privacy by Design“, in der DSGVO auch „Datenschutz durch Technikgestaltung“ genannt.

Verlangt werden „geeignete technische und organisatorische Maßnahmen – wie z. B. Pseudonymisierung –, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.“

Genaue Vorgaben sehen anders aus, doch dies hat seinen Grund: Was genau zu tun ist, um ein Produkt so zu entwickeln, dass es datenschutzfreundlich ist, kommt auf die jeweilige Lösung an. Die DSGVO sagt dazu, dass die konkreten Mittel festgelegt werden sollen „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen“.

Zu den Grundlagen von Privacy by Design zählen:

  • Proactive not Reactive; Preventative not Remedial
  • Privacy as the Default
  • Privacy Embedded into Design
  • Full Functionality: Positive-Sum, not Zero-Sum
  • End-to-End Lifecycle Protection
  • Visibility and Transparency
  • Respect for User Privacy

Man kommt um eine eigene Risikoanalyse, in diesem Zusammenhang auch Datenschutzfolgenabschätzung genannt, nicht herum. Doch es gibt eine Reihe von Maßnahmen, die in aller Regel eine Rolle bei „Privacy by Design“ spielen, und es gibt Tools und Tipps, die bei der Umsetzung helfen.

Aufsichtsbehörden geben Hinweise für Entwickler

Die wenig konkreten Vorgaben aus den Datenschutzgesetzen werden deutlich konkreter, wenn man die sogenannten Orientierungshilfen der Aufsichtsbehörden für den Datenschutz zu Rate zieht. Hier bekommen Nutzer, Anbieter und Entwickler wichtige Hinweise zur Umsetzung des Datenschutzes in verschiedenen Bereichen. Dazu gehören Datenschutzforderungen an Connected Cars sowie die Datenschutzanforderungen an App-Entwickler und App-Anbieter.

Gerade im Bereich der App-Entwicklung gibt es noch vieles zu verbessern, wie zum Beispiel die Meldung „Datenschutz bei Gesundheits-Apps und Wearables mangelhaft“ der Bundesbeauftragten für den Datenschutz zeigt. Doch die Datenschützer melden nicht nur Mängel, sie geben auch Hinweise zur Abstellung, im Fall von Gesundheits-Apps und auch generell für datenschutzkonforme Apps.

Wie entsprechende Apps in der Praxis aussehen, zeigen auch die App-Beispiele von SECUSO an der TU Darmstadt. Entscheidend ist dabei, dass die Apps nur die für die Funktionalität erforderlichen Berechtigungen anfordern. Zudem enthalten diese Apps keine Tracking-Mechanismen, so dass keine (Nutzungs-) Daten gesammelt werden, so der Hinweis von SECUSO.

Datensicherheitsfunktionen und hilfreiche Tools

Wenn es um die Sicherheit der personenbezogenen Daten geht, werden insbesondere folgende Maßnahmen gefordert:

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten

b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen

c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen

Bei der Entwicklung können Lösungen oder Module helfen, die zum Beispiel die Pseudonymisierung oder Verschlüsselung übernehmen und integriert werden können. Dafür gibt es eine Reihe von Beispielen: SafeNet ProtectApp, Wizuda, Privitar, Anonos, Privacy Analytics oder Arcard Software, um nur einige zu nennen.

Privacy by Design einplanen und Unterstützung suchen

Als Entwickler sollte man somit „Privacy by Design“ direkt von Anfang an berücksichtigen und sich über die Anforderungen der Datenschützer regelmäßig informieren, da gerade bei neuen Technologien weitere Orientierungshilfen zum Datenschutz zu erwarten sind. Ebenfalls sollte man prüfen, welche Privacy-Module für das jeweilige Entwicklungsprojekt genutzt werden können, und dies dann auch so umsetzen. Privacy by Design ist Pflicht und nicht „nice to have“.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44677383 / Compliance und Datenschutz )