Privacy by Design und by Default: Prinzipien, die bereits bei der Entwicklung von Software zu berücksichtigen sind

Datenschutz ist kein „Nice-to-have“ mehr, sondern zum „Must-have“ geworden – insbesondere für IT-Unternehmen. Mit den Prinzipien „Privacy by Design“ und „Privacy by Default“ lassen sich Datenschutzrisiken frühzeitig minimieren und rechtskonforme Systeme entwickeln.
Die beiden Prinzipien „Privacy by Design“ und „Privacy by Default“ sind seit der Datenschutzreform im Jahr 2023 in Artikel 7 des Datenschutzgesetzes (DSG) sowie der Datenschutzverordnung (DSV) gesetzlich verankert und dies nicht bloss als Empfehlung, sondern als zwingende Vorgabe an alle Bearbeiter von Personendaten.

Was bedeutet „Privacy by Design“?

„Privacy by Design“, vom Gesetzgeber auch „Datenschutz durch Technik“ genannt, verlangt, dass der Datenschutz schon in der Konzeptionsphase von IT-Systemen, Prozessen und Dienstleistungen berücksichtigt wird. Der Datenschutz soll nicht erst nachträglich „aufgesetzt“ werden, sondern von Anfang an fester Bestandteil der Entwicklung sein. Ziel ist es, potenzielle Datenschutzrisiken frühzeitig zu erkennen und zu minimieren, bevor sie überhaupt entstehen. Das Prinzip wird von den folgenden Kerngedanken getragen:

- Proaktive Massnahmen: Datenschutzrisiken frühzeitig antizipieren und adressieren.

- Datenschutz als Standard: Systeme und Prozesse von Beginn an datenschutzfreundlich gestalten.

- End-to-End-Safety: Datenschutzmassnahmen müssen den gesamten Lebenszyklus von Daten abdecken – von der Erhebung bis zur Löschung.

Was bedeutet „Privacy by Default“?

Mit „Privacy by Default“ soll erreicht werden, dass Systeme und Dienste standardmässig so konfiguriert sind, dass nur unbedingt erforderliche Daten bearbeitet werden. Der Gesetzgeber nennt das Prinzip „Datenschutz durch datenschutzfreundliche Voreinstellungen“ – Nutzer sollen etwa aktiv zustimmen müssen, wenn sie zusätzliche Daten preisgeben möchten. Die folgenden Kerngedanken sind für „Privacy by Default“ wichtig:

- Minimierung der Datenerhebung auf das Nötigste.

- Transparente und klare Datenschutzeinstellungen.

- Standardisierte Opt-out/in Optionen für Funktionen, die zusätzliche Daten erfordern.

Beispiel: Eine App sollte standardmässig keine Standortdaten erfassen, es sei denn, der Nutzer aktiviert diese Funktion bewusst.

Umsetzung in der Softwareentwicklung

Die Integration von „Privacy by Design“ und „Privacy by Default“ erfordert nicht nur technisches Know-how, sondern auch eine datenschutzfreundliche Unternehmenskultur. Die nachfolgenden fünf Schritte zeigen auf, wie du diese Prinzipien in der Softwareentwicklung deines Unternehmens umsetzen kannst:

1. Datenschutzanforderungen frühzeitig identifizieren

Führe eine Datenschutzfolgenabschätzung durch, wenn deine Software in grossem Umfang Personendaten bearbeitet, um mögliche Risiken zu bewerten. Identifiziere, welche Daten erhoben, gespeichert, bearbeitet und gelöscht werden müssen. Eine solche Abschätzung ist freiwillig, solange durch die Software keine umfangreiche Bearbeitung besonders schützenswerter Personendaten erfolgt.

2. Datenminimierung implementieren

Erhebe nur diejenigen Daten, die für die Funktion deiner Anwendung absolut notwendig sind. Anonymisierungs- oder Pseudonymisierungstechniken können zudem helfen, Personendaten zu schützen.

3. Sichere Datenarchitektur entwickeln

Verschlüssle sensible Daten sowohl „at rest“ (im Ruhezustand) als auch „in transit“ (bei der Übertragung). Implementiere rollenbasierte Zugriffskontrollen, um den Zugang zu sensiblen Daten zu beschränken und entwickle robuste Backup- und Wiederherstellungsmechanismen.

4. Benutzerfreundliche Datenschutzeinstellungen anbieten

Stelle sicher, dass Nutzer ihre Datenschutzeinstellungen einfach anpassen können. Biete Voreinstellungen an, die den maximalen Schutz bieten, z.B. deaktivierte Tracking-Funktionen.

5. Regelmässige Schulungen und Audits

Sensibilisiere dein Team für datenschutzrechtliche Anforderungen und führe regelmässige Überprüfungen durch, um sicherzustellen, dass deine Systeme DSG-konform bleiben.

Warum ist das wichtig?

Die Einhaltung von „Privacy by Design“ und „Privacy by Default“ schützt nicht nur vor rechtlichen Konsequenzen (inkl. allfällige Bussen), sondern stärkt auch das Vertrauen deiner Kunden und User.

Die Prinzipien „Privacy by Design“ und „Privacy by Default“ bieten IT-Unternehmen und Startups die Möglichkeit, Datenschutz von Anfang an in ihre Systeme zu integrieren. Dies minimiert rechtliche Risiken und schafft ein solides Fundament für datenschutzfreundliche Produkte und Dienstleistungen.

Bist du unsicher, wie du diese Prinzipien in deinem Unternehmen umsetzen kannst? Wir unterstützen dich bei der Einhaltung des Schweizer Datenschutzgesetzes und der Implementierung datenschutzfreundlicher Prozesse – von der ersten Idee bis zur Umsetzung. Kontaktiere uns gerne für eine Beratung.

Weitere Beiträge

Die 10/20 Nicht-Banken Regeln bei der Startup-Finanzierung mittels Wandeldarlehen

Die 10/20 Nicht-Banken Regeln ist ein geläufiger Begriff, aber oft ist nicht ganz klar, was konkret darunter zu verstehen ist. Dies führt dazu, dass in vielen Finanzierungsrunden (unwissentlich) dagegen verstossen wird. In diesem Beitrag fassen wir die wichtigsten Aspekte kurz und verständlich zusammen.

Success Story: Calingo sichert sich Investment bei Höhle der Löwen

Das InsurTech-Startup Calingo hat mit seiner innovativen Haustierversicherung in der aktuellen Staffel von „Die Höhle der Löwen Schweiz“ abgeräumt und gleich alle „Löwen“ auf einmal gezähmt. Wir von Studio3.law freuen uns, Calingo bei der Umsetzung dieses Investments rechtlich begleiten zu dürfen.

Studio3 erweitert das Angebot von Aeberli Treuhand mit Rechtsdienstleistungen

Eine geballte Ladung rechtliches Know-how für Aeberli – per sofort verstärken wir das Team von Aeberli als Konsulenten.