Privacy by Design & Privacy by Default?

Neben dem klassischen Bargeld sind in unserer digitalisierten Gesellschaft zunehmend Daten zu einem wichtigen Kapital für Technologieunternehmen weltweit geworden. Diesen Trend verdanken wir vor allem zwei Aspekten.

Einerseits sind potentielle Kunden immer seltener dazu bereit, Geld für eine Leistung auszugeben, die für viele selbstverständlich ist. Musste früher ein teures Navigationsgerät oder ein Straßenatlas angeschafft werden, um Zugriff auf Karten aus Deutschland, ganz Europa oder der Welt zu erhalten, ist mit Google Maps eine uneingeschränkte Navigation nur einen Klick entfernt verfügbar. Sollte die App aus dem Hause Alphabet plötzlich eine Jahresgebühr verlangen, dann würde ein großer Kundenstamm zur nächsten kostenlosen Alternative wechseln.

Auf der anderen Seite haben auch die Unternehmen unabhängig ihrer Größe entdeckt, wie wertvoll die digitalen Nullen und Einsen für ihr tägliches Geschäft sind. So lassen sich beispielsweise deutlich lukrativere Werbeverträge schließen, sofern bereits bekannt ist, wonach der Nutzer aktuell eigentlich gerade sucht und an welchen Orten er sich befindet. Verständlicherweise würde es keinen Sinn machen, einem Nutzer mit geringem Einkommen einen Porsche verkaufen zu wollen.

Neben dem Nutzen für beide Seiten entstehen auch schwer kalkulierbare Risiken. Die teils sensiblen Informationen, die wir täglich auf sozialen Netzwerken oder beim Einkauf per Giro-, Kreditkarte oder NFC (beispielsweise bei der Bezahlung per Smartphone mit Google Pay oder Apple Pay) bekannt geben, sollten nicht in die Hände von Unbefugten gelangen und rechtswidrig verarbeitet werden. Daher haben die Themen „Privacy by design“ und „Privacy by default“ mit dem allgemeinen Begriff des Datenschutzes zunehmend Einzug in unserem Alltag erhalten.

An dieser Stelle kann durchaus erwähnt werden, dass Deutschland in diesem Bereich schon immer Vorreiter war und sich auch viele Firmen seit Jahren auf die Sicherheit „Made in Germany“ verlassen. Im letzten Jahr entstand dann durch die Datenschutzgrundverordnung (DSGVO) ein Regelwerk, welches auf die gesamte Europäische Union anzuwenden ist. Ein Grund für viele Firmen die Absicherung der eigenen Kundendaten nochmals zu überdenken und gegebenenfalls anzupassen.

Mit dem Begriff der DSGVO gelangen die für den Entwurf und die Entwicklung relevanten, eben genannten Perspektiven „Privacy by design“ und „Privacy by default“ als weitere Themenbausteine in den Vordergrund.

Der Begriff „Privacy by design“ kommt ursprünglich aus der kanadischen Provinz Ottawa und wurde dort von der ehemaligen Informationsfreiheits- und Datenschutzbeauftragten Ann Cavoukian um die Jahrtausendwende erstmals als Thema ins Spiel gebracht. Das Konzept dahinter war aber keinesfalls neu, denn bereits seit Anbeginn der Informationsverarbeitung wurde relativ schnell deutlich, dass der Datenschutzgedanke bereits möglichst früh bei der Entwicklung von neuen Systemen gedacht werden sollte.

Erstmalig in einem deutschen Gesetz hielt das Konzept hinter „Privacy by design“ 1977 in das Bundesdatenschutzgesetz Einzug, das ab Januar 1978 anzuwenden war. Hier wurde mit Paragraf 6 ein Abschnitt geschaffen, der sich rein auf die technischen und organisatorischen Maßnahmen (TOM) fokussierte. Dort stand im 1. Absatz geschrieben:

„Wer im Rahmen des § 1 Abs. 2 oder im Auftrag der dort genannten Personen oder Stellen personenbezogene Daten verarbeitet, hat die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.“

Das Ziel der Einführung eines solchen Paragrafen war, dass bereits früh in der Planungsphase eines solchen Systems Maßnahmen zum Schutz der später gespeicherten Daten in Form von TOMs definiert und während der Entwicklung nach und nach implementiert werden sollten. Die Formulierung des letzten Satzes ließ aber auch schon damals einen relativ großen Handlungsspielraum offen.

Die neue Datenschutzgrundverordnung der Europäischen Union baut auf den oben genannten Formulierungen auf. In Artikel 25 der aktuellen Fassung steht geschrieben, dass der entsprechende Verantwortliche „sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z. B. Pseudonymisierung treffen muss. Diese Maßnahmen basieren auf Faktoren, wie dem aktuellen Stand der Technik und den Implementierungskosten.

In diesem Zusammenhang spielen auch die Risiken eine entscheidende Rolle. Diese müssen so früh wie möglich identifiziert und die Eintrittswahrscheinlichkeit ermittelt werden. Bereiche, die hohen Risiken ausgesetzt sind, sollten durch mehrere Maßnahmen (bspw. 2-Faktor-Authentifizierung per App oder Stick) abgesichert werden.

Der von 2003 bis 2013 verantwortliche Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Peter Schaar, definierte in einem Artikel der Fachzeitschrift „Identity in the Information Society“ 6 Ziele für das Konzept „Privacy by design“. Diese sind:

• Datenvermeidung:
  Jedes IT-System sollte als Ziel haben, möglichst wenige personenbezogene Daten zu erheben.
• Kontrollierbarkeit:
  Jeder Betroffene soll die Möglichkeit haben, die eigenen personenbezogenen Daten
  in fremden Systemen zu kontrollieren.
• Transparenz:
  Betroffene sollen möglichst übersichtlich und transparent über die Datenverarbeitung informiert werden.
• Vertraulichkeit der Daten:
  Daten sind dahin gehend zu schützen, als dass nur autorisierte Stellen Zugriff auf diese haben.
• Datenqualität:
  Die Qualität der Daten soll durch technische Mittel gewährleistet werden.
• Möglichkeit der Trennung:
  Sofern ein Dienstleister IT-Systeme für verschiedene Zwecke einsetzt, muss sichergestellt werden, dass Daten für unterschiedliche Aufgaben sicher voneinander getrennt werden können.

Was braucht es also noch, um den gesamten Bereich und die bereits ergriffenen Maßnahmen bei „Privacy by design“ optimal abzurunden? Eine Antwort auf diese Frage liefert der Ansatz von „Privacy by default“. Hier geht es um die Voreinstellungen, die der Nutzer vorfindet, sobald er eine Webseite oder Applikation aufruft, beziehungsweise sich beim dahinter liegenden Dienst mit seinen Daten registriert.

Seitdem im letzten Jahr die Datenschutzgrundverordnung (DSGVO) in Kraft getreten ist, kennt jeder auch nicht-technikaffine Nutzer den Begriff „Cookie-Banner“. Das ist kein Wunder, denn sobald wir eine x-beliebige Seite im Internet aufrufen, erhalten wir eine Meldung, dass gewisse (auch optionale) Dienste durch die kleinen Textdateien zur Verfügung gestellt werden. Die hinter der Seite liegende Implementierung der Cookie-Funktionalität zeigt sehr gut, wie wichtig dem Betreiber das Thema „Privacy by default“ ist.

Schauen wir uns an, wie der Internetauftritt der Lufthansa mit diesem Thema umgeht. Nachdem die Seite geladen ist, wird diese abgedunkelt und das folgende Pop-up erscheint:

Positiv im Sinne von „Privacy by default“ hervorzuheben ist, dass es sich um ein Opt-in handelt, also die weiterführende Verwendung von Daten erst explizit ausgewählt werden muss. Die Frage, die sich aber erst auf den zweiten Blick stellt, ist: „Wo kann ich eigentlich meine Auswahl bestätigen, ohne allen Verwendungszwecken zuzustimmen?“ Gefunden? Es handelt sich um das X-Icon oben rechts, mit dem das Pop-up wieder geschlossen werden kann.

Da den meisten aber zunächst der gelbe hervorgehobene Button ins Auge springt, kommt es sehr wahrscheinlich in vielen Fällen zur missverständlichen Auswahl aller Optionen. Selbstverständlich gibt es auch Seiteninhaber, die das Thema „Privacy by default“ bei Cookies sehr ernst nehmen. In der Masse an Internetauftritten sind diese aber eher die Seltenheit.

Um eher sensiblere Informationen geht es bei der Registrierung. Je nachdem, ob wir den Dienst zur Unterhaltung (bspw. Facebook), zum Finden der großen Liebe (bspw. Tinder) oder für Finanztransaktionen (bspw. Banking-Tools) verwenden, hinterlegen wir meist ohne große Nachfrage private Informationen, wie Interessen, Bilder und Bankdaten. Ein Grund also mehr standardmäßig diese im vollen Umfang zu schützen.

Trotzdem ist das leider nicht immer der Fall. Nicht gerade überraschend lässt sich in diesem Fall Facebook als Beispiel in die Betrachtung mit einbeziehen. Nachdem sich ein privater Nutzer für das Netzwerk registriert hat, müssen erst weitere Einstellungen (Wer kann mich finden? Wer sieht meine Beiträge? Zugriff von Apps aufs Konto etc.) in Dutzenden Untermenüs vorgenommen werden, um die eigenen Daten wirklich so privat wie nur möglich zu halten. Dies führte nicht zuletzt zu den großen Datenskandalen, die seit Monaten in der Presse behandelt werden.

Wie sieht also der „perfekte“ Dienst aus, der sich in sämtlichen Belangen um das Thema „Privacy by Default“ kümmert? Wenn wir die vorhergehenden Absätze betrachten, dann dürften standardmäßig eigentlich überhaupt keine Cookies erstellt und die Erfassung von Nutzerdaten nur für die Bereitstellung der Dienstleistung angewendet werden. Darüber hinaus wird durch Opt-ins sichergestellt, dass der Nutzer der weiteren Verwendung von seinen Informationen jederzeit explizit zustimmen muss. Dazu aber gleich mehr bei der Definition der TOMs.

Zum Schluss befassen wir uns nochmals ein bisschen intensiver mit den technischen und organisatorischen Maßnahmen (TOM) zur Umsetzung dieser Regelungen und fassen diese zusammen. Will sich eine Dienstleistung vollkommen den Prinzipien „Privacy by design“ und „Privacy by default“ verschreiben, dann sollten unter anderem die folgenden Maßnahmen ergriffen werden:

Konzeption und Design:

• Datenerfassung:
  Welche Daten erfassen Sie mit ihrer Applikation? Benötigen Sie diese Daten überhaupt? Sofern Daten nur optional für den Betrieb sind, sollten diese erst gar nicht gesammelt werden.
• Transparenz:
  Wie gehen Sie mit den erfassten Informationen um? Wichtig und gesetzlich vorgeschrieben ist, dass der Nutzer jederzeit feststellen kann für was und in welchem Umfang seine Daten verwendet werden.
• Sicherheit:
  Was und wie hoch sind die Risiken für ihr System? Kommt es wahrscheinlich vor, dass sich Unbefugte Zutritt zu den Daten verschaffen möchten? Implementieren Sie dahingehend weitere Sicherheitsfaktoren (bspw. 2-Faktor-Authentifizierung) und sorgen Sie auch für einen ausreichenden internen Zugriffsschutz.
• Verwendungszweck:
  Werden die Daten auch in gleicher Form oder abgeändert an anderer Stelle verwendet? Bitte beachten Sie hierbei, dass selbst anonyme Daten in gebündelter Form Rückschlüsse auf eine Person zulassen können und achten Sie auf eine strikte Trennung.
• Löschung:
  Der Kunde muss jederzeit die Möglichkeit haben, Bestandsdaten und falsche Informationen aus seinem Profil zu löschen.

Einstellungen und Konfiguration:

• Voreinstellungen:
  Am besten stellen Sie sich hier die Frage: „Wenn ich einen Dienst nutze: Welche Optionen würde ich aktivieren?“ und versuchen Sie möglichst transparent die Gründe für die Datenerhebung darzustellen. So kommt es beispielsweise eher vor, dass Nutzer der Erfassung von anonymen Daten zur Verbesserung des Dienstes zustimmen, wenn sie einen Vorteil darin sehen.
• Konfigurationsaufwand:
  Nehmen Sie sich „Privacy by default“ als Vorbild. Sofern Daten über die Sicherstellung des Betriebes hinaus verwendet werden sollen, sind Opt-ins die für den Nutzer deutlich angenehmere Option. Entscheiden Sie sich für Opt-outs, dann informieren Sie den Nutzer über die Möglichkeit der Deaktivierung.

Da das Thema sehr breit gefächert ist und je nach Applikation noch weitere Maßnahmen infrage kommen, lässt sich kaum ein kompletter Leitfaden in einigen Zeilen abbilden. Daher sind die eben genannten Punkte lediglich als Denkanstöße zu verstehen und sollten auf jeden Fall bei der Entwicklung eines Systems weiter diskutiert werden.

Die Vorstellung der Prinzipien „Privacy by design“ und „Privacy by default“ zeigt vor allem, dass die Umsetzung ebendieser zusätzliche Ressourcen bindet und auf diesem Weg den Return of Investment (ROI) zunächst schmälert.

Das ist vor allem dahingehend logisch, als dass sowohl für die Konzeption, als auch die Entwicklung größere Aufwände entstehen, die sich durch den späteren Geschäftsbetrieb lohnen müssen. Wird die Datensammlung als Standard eingeschränkt (nach den eben ausformulierten Prinzipien von „Privacy by default“), dann fallen auch potenzielle Einnahmen, beispielsweise über die Möglichkeit zielgerichteter Werbung oder der Analyse, weg und die entstehenden Einkommensdefizite müssen auf anderem Weg wieder wettgemacht werden.

Eine hundertprozentige Ausrichtung auf die beiden Prinzipien ist daher im Alltag vor allem für kostenfreie Leistungen sicherlich nicht praktikabel. Trotzdem sollte sich jeder im Projekt involvierte Gedanken darüber machen, in welchem Verhältnis die Nutzung der genannten Richtlinien durchaus Sinn macht. Denn auch, wenn wir in den letzten Monaten eher von Datenlecks bei großen Unternehmen, wie Facebook oder Google hörten, so gräbt sich die Frage „Wie sicher sind meine Daten auf dieser Seite?“ langsam in das Bewusstsein von potentiellen Kunden. Denn gerade das Vertrauensverhältnis zwischen Kunde und Anbieter dürfte in der Zukunft eine immer wichtigere Basis für ein langes Geschäftsverhältnis werden.

Disclaimer

Usercentrics GmbH bietet keine Rechtsberatung an. Der Inhalt dieses Artikels ist nicht rechtsverbindlich. Der Artikel stellt die Meinung von Usercentrics dar.