Privacy by Design und by Default: Prinzipien, die bereits bei der Entwicklung von Software zu berücksichtigen sind

12.12.2024
Jennifer Knapp

Datenschutz ist kein „Nice-to-have“ mehr, sondern zum „Must-have“ geworden – insbesondere für IT-Unternehmen. Mit den Prinzipien „Privacy by Design“ und „Privacy by Default“ lassen sich Datenschutzrisiken frühzeitig minimieren und rechtskonforme Systeme entwickeln.

Die beiden Prinzipien „Privacy by Design“ und „Privacy by Default“ sind seit der Datenschutzreform im Jahr 2023 in Artikel 7 des Datenschutzgesetzes (DSG) sowie der Datenschutzverordnung (DSV) gesetzlich verankert und dies nicht bloss als Empfehlung, sondern als zwingende Vorgabe an alle Bearbeiter von Personendaten. 

Was bedeutet „Privacy by Design“?

„Privacy by Design“, vom Gesetzgeber auch „Datenschutz durch Technik“ genannt, verlangt, dass der Datenschutz schon in der Konzeptionsphase von IT-Systemen, Prozessen und Dienstleistungen berücksichtigt wird. Der Datenschutz soll nicht erst nachträglich „aufgesetzt“ werden, sondern von Anfang an fester Bestandteil der Entwicklung sein. Ziel ist es, potenzielle Datenschutzrisiken frühzeitig zu erkennen und zu minimieren, bevor sie überhaupt entstehen. Das Prinzip wird von den folgenden Kerngedanken getragen:

  • Proaktive Massnahmen: Datenschutzrisiken frühzeitig antizipieren und adressieren.
  • Datenschutz als Standard: Systeme und Prozesse von Beginn an datenschutzfreundlich gestalten.
  • End-to-End-Safety: Datenschutzmassnahmen müssen den gesamten Lebenszyklus von Daten abdecken – von der Erhebung bis zur Löschung.

Was bedeutet „Privacy by Default“?

Mit „Privacy by Default“ soll erreicht werden, dass Systeme und Dienste standardmässig so konfiguriert sind, dass nur unbedingt erforderliche Daten bearbeitet werden. Der Gesetzgeber nennt das Prinzip „Datenschutz durch datenschutzfreundliche Voreinstellungen“ – Nutzer sollen etwa aktiv zustimmen müssen, wenn sie zusätzliche Daten preisgeben möchten. Die folgenden Kerngedanken sind für „Privacy by Default“ wichtig:

  • Minimierung der Datenerhebung auf das Nötigste.
  • Transparente und klare Datenschutzeinstellungen.
  • Standardisierte Opt-out/in Optionen für Funktionen, die zusätzliche Daten erfordern.

Beispiel: Eine App sollte standardmässig keine Standortdaten erfassen, es sei denn, der Nutzer aktiviert diese Funktion bewusst.

Umsetzung in der Softwareentwicklung

Die Integration von „Privacy by Design“ und „Privacy by Default“ erfordert nicht nur technisches Know-how, sondern auch eine datenschutzfreundliche Unternehmenskultur. Die nachfolgenden fünf Schritte zeigen auf, wie Sie diese Prinzipien in Ihrer Softwareentwicklung umsetzen können:

1. Datenschutzanforderungen frühzeitig identifizieren

Führen Sie eine Datenschutzfolgenabschätzung durch, wenn Ihre Software in grossem Umfang Personendaten bearbeitet, um mögliche Risiken zu bewerten. Identifizieren Sie, welche Daten erhoben, gespeichert, bearbeitet und gelöscht werden müssen. Eine solche Abschätzung ist freiwillig, solange durch die Software keine umfangreiche Bearbeitung besonders schützenswerter Personendaten erfolgt. 

2. Datenminimierung implementieren

Erheben Sie nur diejenigen Daten, die für die Funktion Ihrer Anwendung absolut notwendig sind. Anonymisierungs- oder Pseudonymisierungstechniken können zudem helfen, Personendaten zu schützen.

3. Sichere Datenarchitektur entwickeln

Verschlüsseln Sie sensible Daten sowohl „at rest“ (im Ruhezustand) als auch „in transit“ (bei der Übertragung). Implementieren Sie rollenbasierte Zugriffskontrollen, um den Zugang zu sensiblen Daten zu beschränken und entwickeln Sie robuste Backup- und Wiederherstellungsmechanismen.

4. Benutzerfreundliche Datenschutzeinstellungen anbieten

Stellen Sie sicher, dass Nutzer ihre Datenschutzeinstellungen einfach anpassen können. Bieten Sie Voreinstellungen an, die den maximalen Schutz bieten, z.B. deaktivierte Tracking-Funktionen.

5. Regelmässige Schulungen und Audits

Sensibilisieren Sie Ihr Team für datenschutzrechtliche Anforderungen und führen Sie regelmässige Überprüfungen durch, um sicherzustellen, dass Ihre Systeme DSG-konform bleiben.

Warum ist das wichtig?

Die Einhaltung von „Privacy by Design“ und „Privacy by Default“ schützt nicht nur vor rechtlichen Konsequenzen (inkl. allfällige Bussen), sondern stärkt auch das Vertrauen Ihrer Kunden und User.

Die Prinzipien „Privacy by Design“ und „Privacy by Default“ bieten IT-Unternehmen und Startups die Möglichkeit, Datenschutz von Anfang an in ihre Systeme zu integrieren. Dies minimiert rechtliche Risiken und schafft ein solides Fundament für datenschutzfreundliche Produkte und Dienstleistungen.

Sind Sie unsicher, wie Sie diese Prinzipien in Ihrem Unternehmen umsetzen können? Wir unterstützen Sie bei der Einhaltung des Schweizer Datenschutzgesetzes und der Implementierung datenschutzfreundlicher Prozesse – von der ersten Idee bis zur Umsetzung. Kontaktieren Sie uns gerne für eine Beratung.

Let's
team up!

Code Law AG
Förrlibuckstrasse 190
8005 Zürich
Switzerland

E-mail:

Schedule a Call

  • Code Law needs the contact information you provide to us to contact you about our products and services. You may unsubscribe from these communications at any time. For information on how to unsubscribe, as well as our privacy practices and commitment to protecting your privacy, please review our Privacy Policy.