“Soweit rich­tet sich die For­de­rung nach „pri­va­cy by default“ also kei­nes­falls (nur) an die Her­stel­ler von IT-Systeme.” – Mat­thi­as Herkert

Mit der Daten­schutz­grund­ver­ord­nung (DSGVO) wird spä­tes­tens am 25. Mai 2018 die in Arti­kel 25 Absatz 2 DSGVO nor­mier­te Anfor­de­rung der „daten­schutz­freund­li­chen Vor­ein­stel­lun­gen“ für alle Ver­ar­bei­tun­gen per­so­nen­be­zo­ge­ner Daten umge­setzt sein müssen.

Auch wenn die Grund­idee nach aus Sicht des Daten­schut­zes benut­zer­freund­li­chen Vor­ein­stel­lun­gen dem aus dem BDSG bereits bekann­ten „Erfor­der­lich­keits­prin­zip“ nicht unähn­lich ist, wird über die Anfor­de­rung noch­mals auch die Ziel­rich­tung des Daten­schut­zes beson­ders deut­lich. Anders als etwa aus Sicht der Daten­si­cher­heit sind per­so­nen­be­zo­ge­ne Daten aus Sicht des Daten­schut­zes in einer Kom­mu­ni­ka­ti­on zwi­schen A(lice) und B(ob) nicht durch einen unbe­stimm­ten „Man-in-the-Middle“ (Mal­lo­ry) in Gefahr – der wahr­schein­lichs­te Angrei­fer ist viel­mehr B(ob) selber!
Die Prin­zi­pi­en des Daten­schutz­rech­tes schüt­zen damit einen (ver­meint­lich) schwa­chen Betrof­fe­nen vor einem (ver­meint­lich) star­ken Daten­ver­ar­bei­ter. „Drit­te“ rücken aus dem Fokus.
Soweit rich­tet sich die For­de­rung nach „pri­va­cy by default“ also kei­nes­falls (nur) an die Her­stel­ler von IT-Systeme. Gemeint ist viel­mehr eine Ver­pflich­tung jedes Daten­ver­ar­bei­ters, sei­ne Dienst und Sys­te­me so zu gestal­ten, dass im Sin­ne der Ver­ord­nung grund­sätz­lich nur per­so­nen­be­zo­ge­ne Daten, deren Ver­ar­bei­tung für den jewei­li­gen bestimm­ten Ver­ar­bei­tungs­zweck erfor­der­lich sind, ver­ar­bei­tet werden.
Dass es dem Ver­ord­nungs­ge­ber dabei mit der Ver­pflich­tung des Ver­ant­wort­li­chen durch­aus ernst war, zeigt ein Blick auf Arti­kel 83 Absatz 4 DSGVO, der bei Ver­stö­ßen gegen die For­de­rung nach Daten­schutz durch benut­zer­freund­li­che Vor­ein­stel­lun­gen Geld­bu­ßen von bis zu 10 000 000 EUR oder 2% des gesam­ten welt­weit erziel­ten Jah­res­um­sat­zes vorsieht.
Und wie kann die „abs­trak­te For­de­rung“ der DSGVO nach „pri­va­cy by default“ in der Pra­xis umge­setzt wer­den? Erwä­gungs­grund 78 führt hier­zu durch­aus umset­zungs­ori­en­tiert unter ande­rem tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men zur Daten­mi­ni­mie­rung, eine schnellst­mög­li­che Pseud­ony­mi­sie­rung, Trans­pa­renz in Bezug auf die Funk­tio­nen und die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten oder die Mög­lich­kei­ten der Über­wa­chung der Ver­ar­bei­tung durch den Betrof­fe­nen an.
Das bei der wei­te­ren Kon­kre­ti­sie­rung die in Aus­sicht ste­hen­den Hand­rei­chun­gen und Stel­lung­nah­men der Auf­sichts­be­hör­den zukünf­tig eine wert­vol­le Hil­fe sein kön­nen steht außer Fra­ge – mit Blick auf die zu erwar­ten­den Engi­nee­ring­zei­ten der gege­be­nen­falls not­wen­di­gen Sys­tem­ge­stal­tun­gen dürf­te es „auf den letz­ten Metern“ vor dem 25. Mai 2018 hier­bei zeit­lich jedoch eng werden.
Wie im Kon­text vie­ler Anfor­de­run­gen der DSGVO rücken damit auch bei der Gestal­tung von Lösun­gen zum Daten­schutz durch daten­schutz­freund­li­che Vor­ein­stel­lun­gen pro­ak­ti­ve Datenschutz-Managementsysteme mit struk­tu­rier­ten und doku­men­tier­ten Lösungs­räu­men wei­ter in den Fokus. „One-size-fits-all“-Lösungen wird es unter der DSGVO nur noch weni­ge geben – die For­de­rung nach betrof­fe­nen­spe­zi­fi­schen (u.a. also ziel­grup­pen­spe­zi­fi­schem) „default“ ist dafür nur ein Beispiel.

Autor: Mat­thi­as Her­kert, Lei­ter Fach­be­reich Con­sul­ting und exter­ner Datenschutzbeauftragter