Datenschutz durch Design gemäß GDPR Artikel 25: Implementierungsleitfaden für Produkt- und Ingenieurteams

Artikel 25 der Datenschutz-Grundverordnung legt zwei sich ergänzende Verpflichtungen fest: Datenschutz durch Technik und Datenschutz durch Voreinstellungen. Dies sind keine ehrgeizigen Ziele. Es handelt sich um rechtsverbindliche Anforderungen, die für jeden für die Verarbeitung Verantwortlichen gelten und die mit Geldbußen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes gemäß Artikel 83(4) durchgesetzt werden können. Doch für viele Produkt- und Entwicklungsteams ist es nach wie vor eine Herausforderung, diese rechtlichen Verpflichtungen in praktische Entwicklungsabläufe umzusetzen.

Dieser Leitfaden überbrückt die Kluft zwischen dem Gesetzestext und der täglichen Softwareentwicklung. Er bietet einen praktischen Rahmen für die Einbindung des Datenschutzes in Ihren Produktlebenszyklus, vom ersten Entwurf bis zur Bereitstellung und darüber hinaus.

Artikel 25 verstehen

Nach Artikel 25 Absatz 1 ist der für die Verarbeitung Verantwortliche verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, um die Datenschutzgrundsätze wirksam umzusetzen und die erforderlichen Garantien in die Verarbeitung einzubeziehen. Diese Verpflichtung gilt zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung und zum Zeitpunkt der Verarbeitung selbst.

Artikel 25(2) schreibt vor, dass standardmäßig nur personenbezogene Daten verarbeitet werden, die für jeden spezifischen Zweck der Verarbeitung erforderlich sind. Dies gilt für die Menge der erhobenen Daten, den Umfang der Verarbeitung, die Dauer der Speicherung und die Zugänglichkeit. Standardmäßig dürfen personenbezogene Daten nicht ohne ihr Zutun einer unbestimmten Anzahl von natürlichen Personen zugänglich gemacht werden.

Die EDPB-Leitlinien 4/2019 zu Artikel 25 stellen klar, dass die Verpflichtung zur Umsetzung des Datenschutzes durch Technik eine fortlaufende, dynamische Anforderung ist, die während des gesamten Lebenszyklus der Verarbeitung kontinuierlich bewertet werden muss.

Die 7 Grundprinzipien

Das ursprünglich in den 1990er Jahren entwickelte Grundgerüst von Ann Cavoukian für Privacy by Design ist nach wie vor das am häufigsten referenzierte konzeptionelle Modell. Diese sieben Prinzipien bilden die philosophische Grundlage für Artikel 25:

1. Proaktiv statt reaktiv; präventiv statt abhelfend. Antizipieren und verhindern Sie in die Privatsphäre eingreifende Ereignisse, bevor sie eintreten. Warten Sie nicht, bis die Risiken für die Privatsphäre eintreten.
2. Datenschutz als Standardeinstellung. Stellen Sie sicher, dass persönliche Daten in jedem System automatisch geschützt sind. Der Einzelne sollte nichts unternehmen müssen, um seine Privatsphäre zu schützen.
3. Datenschutz in das Design integrieren. Integrieren Sie den Datenschutz in das Design und die Architektur von IT-Systemen und Geschäftspraktiken. Datenschutz ist kein zusätzliches Element.
4. Volle Funktionalität: Positivsumme, nicht Nullsumme. Berücksichtigen Sie alle legitimen Interessen und Ziele. Der Schutz der Privatsphäre sollte nicht auf Kosten der Funktionalität gehen, und die Funktionalität sollte nicht auf Kosten der Privatsphäre gehen.
5. End-to-End-Sicherheit: Schutz über den gesamten Lebenszyklus. Stellen Sie sicher, dass während des gesamten Lebenszyklus der Daten - von der Erfassung bis zur Löschung - angemessene Sicherheitsmaßnahmen ergriffen werden.
6. Sichtbarkeit und Transparenz: Halten Sie alles offen. Versichern Sie allen Beteiligten, dass die Prozesse, die personenbezogene Daten betreffen, gemäß den erklärten Versprechen und Zielen ablaufen und einer unabhängigen Überprüfung unterliegen.
7. Respekt für die Privatsphäre der Benutzer: Halten Sie den Benutzer in den Mittelpunkt. Architekten und Betreiber müssen die Interessen des Einzelnen in den Vordergrund stellen, indem sie starke Datenschutzvorgaben, angemessene Hinweise und benutzerfreundliche Optionen anbieten.

Integration von Privacy by Design in agile Arbeitsabläufe

Privacy by Design wird oft als unvereinbar mit der agilen Entwicklung angesehen. In der Praxis lässt es sich jedoch ganz natürlich in sprintbasierte Arbeitsabläufe integrieren, wenn man es richtig angeht.

Sprint-Planung

Während der Sprint-Planung sollte jede User Story, die personenbezogene Daten enthält, eine Datenschutzbewertung auslösen. Fügen Sie Ihrer Story-Vorlage eine Checkliste zum Datenschutz hinzu:

• Erfasst diese Funktion neue persönliche Daten?
• Ändert diese Funktion die Art und Weise, wie bestehende persönliche Daten verarbeitet werden?
• Gibt diese Funktion persönliche Daten an neue Empfänger weiter?
• Beinhaltet diese Funktion eine automatisierte Entscheidungsfindung oder ein Profiling?
• Kann die Funktion mit weniger persönlichen Daten implementiert werden (Datenminimierung)?

Wenn eine der Antworten "Ja" lautet, muss die Geschichte vor Beginn der Implementierung einer Datenschutzprüfung unterzogen werden. Diese Überprüfung kann je nach Komplexität vom Datenschutzbeauftragten, einem Datenschutzingenieur oder einem geschulten Teammitglied durchgeführt werden.

Anwenderberichte mit Datenschutzanforderungen

Datenschutzanforderungen sollten in den User Stories explizit genannt werden. Zum Beispiel:

Standard-Benutzergeschichte: "Als Benutzer möchte ich meine Bestellhistorie einsehen, damit ich meine Einkäufe verfolgen kann."

Verbesserter Datenschutz: "Als Benutzer möchte ich meine Bestellhistorie einsehen, damit ich meine Einkäufe verfolgen kann. Akzeptanzkriterien: (1) Es werden nur Bestellungen angezeigt, die dem authentifizierten Benutzer gehören. (2) Die Bestelldaten werden mit den für die Anzeige erforderlichen Mindestfeldern abgerufen. (3) Die Lieferadressen sind standardmäßig teilweise maskiert. (4) Der Zugriff wird zu Prüfzwecken protokolliert."

Definition von Erledigt

Ihre Team-Definition von "erledigt" sollte Kriterien für den Datenschutz enthalten:

• Checkliste zum Datenschutz geprüft und ausgefüllt
• Datenminimierung bestätigt (keine unnötige Datenerfassung oder -speicherung)
• Zugangskontrollen implementiert und getestet
• Datenschutzhinweis aktualisiert, wenn neue Datenerfassung eingeführt wird
• Datenaufbewahrung im Einklang mit der dokumentierten Aufbewahrungsrichtlinie
• DPIA aktualisiert, wenn die Funktion das Risikoprofil verändert

Muster für die Datenminimierung

Die Datenminimierung (Artikel 5(1)(c)) ist der praktischste Ausdruck von Privacy by Design. Er verlangt, dass personenbezogene Daten angemessen, relevant und auf das für die Zwecke der Verarbeitung erforderliche Maß beschränkt sind. Wirksame Muster zur Datenminimierung umfassen:

Minimierung der Sammlung:

• Erfassen Sie nur die für den angegebenen Zweck erforderlichen Felder
• Verwenden Sie die schrittweise Offenlegung: Erfassen Sie anfangs nur minimale Daten und fordern Sie zusätzliche Daten nur bei Bedarf an.
• Vermeiden Sie "nice to have"-Felder: Wenn die Daten für die Verarbeitung nicht erforderlich sind, erheben Sie sie nicht.

Minimierung der Verarbeitung:

• Verarbeiten Sie Daten auf der höchsten Aggregationsebene, die dem Zweck dient
• Verwenden Sie die Pseudonymisierung, wenn eine individuelle Identifizierung für die Verarbeitung nicht erforderlich ist.
• Führen Sie eine Datentrennung ein: Speichern Sie Identifikatoren getrennt von Verhaltensdaten.

Minimierung der Aufbewahrung:

• Definieren und erzwingen Sie Aufbewahrungsfristen für jede Datenkategorie
• Automatische Löschung oder Anonymisierung am Ende der Aufbewahrungsfrist einführen
• Überprüfen Sie die Aufbewahrungsfristen jährlich und verkürzen Sie sie nach Möglichkeit.

Minimierung des Zugriffs:

• Wenden Sie rollenbasierte Zugriffskontrollen an: Benutzer sollten nur auf die Daten zugreifen, die sie für ihre Rolle benötigen.
• Implementieren Sie einen zeitbasierten Zugriff: zeitlich begrenzter Zugriff für bestimmte Aufgaben, der automatisch widerrufen wird
• Protokollierung und Prüfung aller Zugriffe auf persönliche Daten

Technologien zur Verbesserung der Privatsphäre

Artikel 25 und Erwägungsgrund 78 der Datenschutz-Grundverordnung verweisen ausdrücklich auf technische Maßnahmen wie Pseudonymisierung und Verschlüsselung. Eine breitere Palette von Technologien zum Schutz der Privatsphäre (PETs) kann Ihre Privacy by Design-Implementierung stärken:

Pseudonymisierung (Artikel 4(5)):

Ersetzen Sie direkt identifizierende Daten (Namen, E-Mail-Adressen) durch pseudonyme Identifikatoren. Die Zuordnung zwischen Pseudonymen und Identitäten wird separat mit strengen Zugriffskontrollen gespeichert. Die Pseudonymisierung verringert das Risiko im Falle eines Datenschutzverstoßes und ermöglicht gleichzeitig die Re-Identifizierung von Daten, wenn dies für die rechtmäßige Verarbeitung erforderlich ist.

Verschlüsselung:

Implementieren Sie eine Verschlüsselung im Ruhezustand (AES-256 oder gleichwertig) für gespeicherte personenbezogene Daten und eine Verschlüsselung bei der Übertragung (TLS 1.3) für alle Datenübertragungen. Die Verschlüsselung macht die Daten für Unbefugte unverständlich und wird in Artikel 34(3)(a) ausdrücklich als ein Faktor anerkannt, der die Verpflichtung zur Benachrichtigung der betroffenen Personen über eine Datenschutzverletzung beseitigen kann.

Zugangskontrollen:

Implementieren Sie granulare, rollenbasierte Zugriffskontrollen nach dem Prinzip der geringsten Privilegien. Kombinieren Sie den Zugriff auf sensible Daten mit einer Multi-Faktor-Authentifizierung. Überwachen und protokollieren Sie alle Zugriffe für Audits und die Erkennung von Anomalien.

Anonymisierung:

Wenn personenbezogene Daten für ihren ursprünglichen Zweck nicht mehr benötigt werden, die zugrunde liegenden Muster jedoch wertvoll sind (z. B. für Analysen), wenden Sie Anonymisierungstechniken an, die eine erneute Identifizierung unmöglich machen. Wirklich anonymisierte Daten fallen nicht in den Geltungsbereich der Datenschutzgrundverordnung. Seien Sie jedoch vorsichtig: Die Stellungnahme 05/2014 der Artikel-29-Datenschutzgruppe warnt davor, dass viele angebliche Anonymisierungstechniken mit Hilfsdaten rückgängig gemacht werden können.

Differenzierter Datenschutz:

Für Analysen und maschinelles Lernen fügt die differentielle Privatsphäre kalibriertes Rauschen zu den Datensätzen hinzu, um zu verhindern, dass individuelle Datensätze abgeleitet werden können. Diese Technik ermöglicht statistische Analysen und bietet gleichzeitig mathematische Garantien gegen eine erneute Identifizierung.

DPIA-Integration

Privacy by Design und Datenschutz-Folgenabschätzungen (Artikel 35) sind komplementäre Prozesse. Wenn eine neue Funktion oder ein neues System eine Datenschutz-Folgenabschätzung erforderlich macht, fließt die Privacy by Design-Analyse direkt in die Datenschutz-Folgenabschätzung ein:

• Die Bewertung der Datenminimierung fließt in die Erforderlichkeits- und Verhältnismäßigkeitsanalyse der Datenschutzfolgenabschätzung ein.
• Die PET-Auswahl dient als Grundlage für den Abschnitt zur Risikominderung in der DPIA
• Der Entwurf der Zugangskontrolle ist Bestandteil des Abschnitts über die DPIA-Sicherheitsmaßnahmen
• Die Aufbewahrungsrichtlinie dient als Grundlage für die Analyse der Speicherbegrenzung in der DPIA

Integrieren Sie DPIA-Prüfungen in Ihren Sprint-Zyklus für Funktionen, die eine risikoreiche Verarbeitung beinhalten. Auf diese Weise vermeiden Sie das gängige Muster, DPIAs im Nachhinein durchzuführen, nachdem ein System bereits entwickelt und bereitgestellt wurde.

Messung des Reifegrads von Privacy by Design

Um über die Ad-hoc-Integration des Datenschutzes hinauszugehen, sollten Sie Metriken festlegen, die den Reifegrad Ihres Unternehmens im Bereich Privacy by Design messen:

• Prozentsatz der User Stories mit ausgefüllten Datenschutz-Checklisten
• Anzahl der Funktionen, die ohne Datenschutzprüfung eingesetzt werden (Ziel: Null)
• Mittlere Zeit bis zur Lösung von Datenschutzproblemen aus der Codeüberprüfung
• Datenerhebungs-Delta: Anzahl der neu hinzugefügten bzw. entfernten persönlichen Datenfelder pro Quartal
• Erfüllungsquote für die Aufbewahrung: Prozentsatz der Datenkategorien innerhalb der festgelegten Aufbewahrungsfrist
• DPIA-Abschlussquote: Prozentsatz der Hochrisikomerkmale mit abgeschlossenen DPIAs vor der Bereitstellung

Aufbau einer Kultur der Datenschutztechnik

Der Erfolg oder Misserfolg von Privacy by Design hängt letztlich davon ab, ob die Entwicklungsteams den Datenschutz als Designvorgabe verinnerlichen. Dies erfordert:

• Schulungen: Regelmäßige Datenschutzschulungen für Entwickler, QA und Produktmanager
• Werkzeuge: Datenschutz-Linting-Tools, Datenfluss-Mapping-Integrationen und automatische PIA-Auslöser in Ihrer CI/CD-Pipeline
• Champions: Ernennen Sie Datenschutzbeauftragte in jedem technischen Team, die als erste Anlaufstelle für Datenschutzfragen dienen.
• Anreize: Erkennen Sie datenschutzfreundliche Designentscheidungen an und belohnen Sie sie. Datenschutz sollte ein Qualitätsmerkmal sein, kein bürokratisches Hindernis.
• Feedback-Schleifen: Teilen Sie Durchsetzungsmaßnahmen, Fallstudien zu Verstößen und Audit-Ergebnisse mit den Entwicklungsteams, um das Bewusstsein für die realen Konsequenzen zu erhalten.

Artikel 25 ist keine Übung zum Ankreuzen. Es ist eine fortlaufende Verpflichtung, Systeme zu entwickeln, die die Privatsphäre des Einzelnen von vornherein und standardmäßig respektieren. Unternehmen, die diese Verpflichtung in ihrer Entwicklungskultur verankern, werden feststellen, dass der Schutz der Privatsphäre zu einem Faktor wird, der das Vertrauen der Benutzer stärkt, das Risiko von Datenschutzverletzungen verringert und die Verantwortlichkeit demonstriert, die die DSGVO fordert.