Privacy by Design – neuer Standard nach ISO 31700
Datenschutz durch Technikgestaltung.
Eine neue Anforderung der europäischen Datenschutz-Grundverordnung (DSGVO), die regelmäßig für Verwirrung bei Anwendern sorgt, ist die Anforderung zur Erreichung des Datenschutzes durch Technikgestaltung gem. Art. 25 DSGVO, im Englischen „Privacy-by-design“.
„Privacy-by-design“ zielt darauf ab, Datenschutz und Datensicherheit bereits in den Entwicklungsprozess von Produkten, Systemen oder Dienstleistungen zu integrieren. Anstatt Datenschutz als nachträgliche Maßnahme zu betrachten, wird er von Anfang an in den Designprozess eingebunden. Ziel ist es, Datenschutzrisiken zu minimieren und die Einhaltung von Datenschutzbestimmungen sicherzustellen. Beispielsweise würde bei der Entwicklung einer Software bereits eine Sicherheitsbewertung durchgeführt, um sicherzustellen, dass Daten verschlüsselt gespeichert werden, nur autorisierte Benutzer Zugriff haben, und es würden Mechanismen eingebaut, um sicherzustellen, dass nur die notwendigen Daten für die Funktionen der App gesammelt werden.
Internationaler Standard für “Privacy-by-design“
Im Februar 2023 hat die Internationale Organisation für Normung (kurz: ISO) einen neuen Standard für „Privacy by design for consumer goods and services“ veröffentlicht, die sogenannte ISO 31700. Dabei geht die neue ISO-Norm 31700 über den ursprünglichen, konzeptionellen Entwurf von 2009, der damaligen Datenschutzbeauftragten der kanadischen Provinz Ontario, Ann Cavoukian, hinaus und enthält anstatt der sieben Prinzipien nunmehr 30 Anforderungen.
Der ISO-Standard 31700 soll die datenschutzrechtlichen Anforderungen bei Produkten und Softwareangeboten, bei denen personenbezogene Daten verarbeitet werden, bereits in der Anfangsphase der Produktentwicklung, sowie während der gesamten Nutzungsdauer berücksichtigen und im Design integrieren. Ziel ist es, ein hohes Datenschutzniveau sicherzustellen, ohne dass die Verbraucher den Schutz ihrer Daten erst durch umständliche Einstellungen im Gerät herbeiführen müssen. Zum einen befasst sich die ISO 31700-1 mit Verfahren zur Produktgestaltung, dem Design von User Interfaces, der Verbraucher-Kommunikation, Risikoassessments, Tests und Maßnahmen für die Einstellung. Zum anderen umfasst die ISO 31700-2 Beispiele zum Standard-Einsatz.
Inhalte der ISO-31700
Die ISO 31700-1 enthält allgemeine Anleitungen und Hinweise zur Entwicklung von Funktionen, die es den Verbrauchern ermöglichen, ihre Datenschutzrechte durchzusetzen. Dazu dient z.B. die Zuweisung relevanter Rollen und Befugnisse, die Bereitstellung von Datenschutzinformationen für Verbraucher, die Durchführung von Datenschutzrisikobewertungen, die Festlegung und Dokumentation von Anforderungen an Datenschutzkontrollen, die Gestaltung von Datenschutzkontrollen, das Datenmanagement über den gesamten Lebenszyklus sowie die Vorbereitung auf und zum Umgang mit Datenschutzverletzungen. Die ISO- Norm soll dabei als allgemeine Handlungsanweisung verstanden werden. Umsetzungshinweise werden in der ISO 31700-2 dann in einem separaten Dokument anhand von spezifischen Beispielen erläutert.
Die Norm stellt die Datenschutzrechte und -präferenzen von Verbrauchern in den Mittelpunkt der Produktentwicklung und des Betriebs. Die aufgezeigten Anwendungsfälle stammen aus dem Online-Einzelhandel, einem Fitnessunternehmen und von intelligenten (vernetzten) Schließsystemen. Exemplarisch werden dort spezielle Systemanforderungen aufgezeigt, die mittels einer Reihe möglicher Abfolgen von Interaktionen zwischen Interessengruppen und Systemen in einem bestimmten Ökosystem veranschaulicht werden
Relevanz der ISO 31700 für Unternehmen
Die ISO-Norm ist als Empfehlung zu verstehen und soll zur globalen Standardisierung von Privacy by Design schaffen und die Anforderungen aus Sicht der Verbraucher betonen. Es wird der Ansatz verfolgt, dass durch die Einhaltung des Standards nicht nur datenschutzrechtliche Vorgaben der Unternehmen erfüllt werden, vielmehr soll auch das Vertrauen der Verbraucher gegenüber den Diensteanbietern gestärkt wird. Daher könnte dieser Standard besonders interessant für Unternehmen sein, die regelmäßig mit der Entwicklung von Produkten, Systemen oder Dienstleistungen beschäftigt sind und dabei den Schutz personenbezogener Daten gewährleisten wollen.