Aus einem Konferenzbeitrag zur heise devSec() 2023 von Hedwig Amberg und Dominik Smasal
Wussten Sie, dass Verstöße gegen “Privacy by Design” zu DSGVO-Bußgeldern in dreistelliger Millionenhöhe führen können? So wurden beispielsweise 2022 und 2023 Bußgelder in Höhe von 405 Millionen Euro (gegenüber Instagram), 345 Millionen Euro (gegenüber TikTok) oder 265 Millionen Euro (gegenüber Meta) verhängt. Diese Entscheidungen beziehen sich u.a. auf das Thema “Privacy by Design”.
Was ist Privacy by Design?
Bei „Privacy by Design“ handelt es sich um ein seit Jahrzehnten bekanntes Datenschutz-Prinzip, das in Artikel 25 der Datenschutz-Grundverordnung (DSGVO) verankert ist und bei Bußgeldern eine bedeutende Rolle spielt.
Der vollständige Titel des Artikel 25 DSGVO lautet: „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“. Bereits 2017 schrieb Dr. h.c. Marit Hansen in den BvD-NEWS (Ausgabe 2/2017, S. 9):
“Die Bezeichnung in der deutschen Sprachfassung ‘Datenschutz durch Technikgestaltung’ ist irreführend, denn in den anderen Sprachen der DSGVO (…) tritt das Wort ‘Technikgestaltung’ überhaupt nicht in Erscheinung. Richtiger wäre ‘Datenschutz durch Gestaltung’ – ohne eine (vermeintliche) Beschränkung auf ‘Technik’ (…)”.
Aus diesem Grund nutzen wir ausschließlich den Begriff „Privacy by Design“, um diese unnötige Einschränkung zu vermeiden.
Je früher Privacy by Design im Entwicklungsprozess berücksichtigt wird, desto besser. Wie so oft gilt: Zu spät gedacht oder hinzugefügt ist meistens aufwendiger und teurer. Es entspricht dem „by Design“-Gedanken, Datenschutz bereits in der Planungsphase zu berücksichtigen.
Herausforderungen bei der Umsetzung
Die Umsetzung von Privacy by Design ist jedoch nicht ohne Herausforderungen. Ein Mangel an Verständnis, Wissen und Awareness für dieses Konzept kann die Implementierung erschweren. Das Engagement von Stakeholdern und die Integration von Privacy Enhancing Technologies (PETs) sind oft begrenzt.
Integration in den Secure Software Development Lifecycle (SSDLC)
Doch wie können wir den Datenschutz effektiv in den Softwareentwicklungsprozess integrieren? Hier kommt der Secure Software Development Lifecycle (SSDLC) ins Spiel. Er erweitert den Prozess mit zusätzlichen Schritten und Anweisungen zur Gewährleistung des Datenschutzes. Tools wie OWASP SecurityRAT,(ein Tool, das Teams hilft, Sicherheitsanforderungen für Software zu identifizieren und zu verwalten, bieten anpassbare Anforderungen, abhängig von der Art der Anwendung und der Zielgruppe.
Bei IONOS haben wir bei der Entwicklung von Produkten rund um Künstliche Intelligenz (KI) die Erfahrung gemacht, dass die Integration von Datenschutzaspekten in SecurityRAT ein guter Startpunkt für eine datenschutzfreundliche Implementierung ist. Kurze Einführungssessions, Schulungen für Ansprechpersonen und die Ermutigung zu Fragen und Feedback haben sich als besonders wertvoll erwiesen.
Die Verbindung von Informationssicherheit und Datenschutz hat sich in unserer Organisation als großer Vorteil erwiesen. Die Dokumentation auf verschiedenen Ebenen und die klare Erklärung von Fachbegriffen tragen zur Verbesserung des Verständnisses und der Umsetzung von Privacy by Design bei. Wir arbeiten aktiv daran, Rückmeldungen einzuholen und zu integrieren, um unser Vorgehen kontinuierlich zu verfeinern und den Schutz personenbezogener Daten weiter zu stärken.
Weiterführende Links:
- Sicherheitstool: OWASP SecurityRAT
- DSGVO Artikel 25
- BvD-NEWS 2/2017
- heise devSec() Konferenz
- Blog-Post zur IT-Sicherheit