Datenschutz durch Technikgestaltung / Privacy by Design
Das Prinzip des Datenschutzes durch Technikgestaltung ist auch unter dem englischen Begriff „Privacy by Design“ bekannt. Es besagt, dass Hersteller bereits bei der Entwicklung und Gestaltung von Produkten, Diensten und Anwendungen Datenschutzrechte beachten und sicherstellen, dass Datenverarbeiter ihren Datenschutzpflichten nachkommen können.
Für Datenverarbeiter schreibt die Datenschutz-Grundverordnung Datenschutz durch Technikgestaltung unter Berücksichtigung des Stands der Technik und der Implementierungskosten vor. Konkrete Vorgaben dazu, welche technischen Maßnahmen bei Privacy by Design zu ergreifen sind, macht die Datenschutz-Grundverordnung nicht. Pseudonymisierung wird als eine Möglichkeit erwähnt, um weniger personenbezogene Daten zu speichern. Doch es wird sich erst noch zeigen müssen, wie Anbieter dem Gebot für Datenschutz durch Technikgestaltung in der Praxis nachkommen werden.
Siehe auch datenschutzfreundliche Voreinstellungen
Artikel 25 Absatz 1 DSGVO (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen)
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z. B. Pseudonymisierung -, trifft, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.
(…)
(3) Ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in den Absätzen 1 und 2 des vorliegenden Artikels genannten Anforderungen nachzuweisen.
Quelle: Verordnung (EU) 2016/679 (siehe auch Erwägungsgrund 78)
