Anzeige

Anzeige

digitale Souveränität

Privacy by Design ist im Rahmen der DSGVO-Einführung heiß diskutiert worden. Mittlerweile ist es jedoch erstaunlich ruhig darum geworden. Dabei ist der Gedanke, den Datenschutz von vornherein in der Technikgestaltung zu verankern, ebenso sinnvoll wie effektiv. Ein Kommentar von Andrea Wörrlein, Geschäftsführerin von VNC in Berlin und Verwaltungsrätin der VNC AG in Zug.

Souveränität und Kontrolle gehören zusammen. Nur wenn ich selbst die Kontrolle darüber habe, was mit meinen Daten passiert, kann ich auch souverän darüber verfügen. Deshalb ist Privacy by Design so wichtig. Sie verlagert die Datensouveränität und Entscheidungsgewalt vom Software-Anbieter zum Nutzer und macht ihn damit zum Herrn seiner eigenen Daten.

Privacy by Design ist ein Prinzip, das Datenschutz schon auf der technischen Ebene bei der Produktentwicklung mitdenkt und implementiert. Konsequent umgesetzt lässt es viele Zugriffs- und Manipulationsversuche ins Leere laufen, macht eine Reihe aufwändiger Schutz- und Prüfmaßnahmen überflüssig und vereinfacht die Kontrolle der eigenen Datensouveränität. Leider bleibt die DSGVO bei der Konkretisierung dessen, was Privacy by Design genau ist, sehr vage. Immerhin tauchen in diesem Kontext Begriffe wie Pseudonymisierung, Authentifizierung und Anonymisierung von Daten auf.

Wie diese jedoch umgesetzt und deren Einhaltung kontrolliert werden sollen, bleibt offen. Gleiches gilt für den Geltungsbereich. Zuerst rückt natürlich der Schutz der persönlichen Daten ins Blickfeld, Privacy by Design muss aber auch die Vertraulichkeit der Metadaten und der Verbindungen sicherstellen. Dabei darf jedoch nicht vergessen werden, dass ein Minimum an Metadaten für elementare Systemfunktionen zugänglich bleiben muss. Ein häufig übersehener Punkt ist auch die Root-Admin-Protection. Sie verhindert, wenn gewünscht, dass ein mit umfassenden Rechten ausgestatteter Administrator Zugriff auf sämtliche Daten hat.

Privacy by Design ist idealerweise von Anfang an Leitmotiv und Handlungsanweisung bei der Software-Entwicklung. Und um später einmal kontrollieren zu können, ob sie diesem Anspruch auch tatsächlich gerecht wird, muss die Software quelloffen und unabhängig auditierbar sein. Closed Source, die ja im Kern bereits hermetisch angelegt ist, erfüllt diese Kriterien nicht und damit stellt sich die berechtigte Frage, ob sie mit der DSGVO überhaupt vereinbar ist. Open Source dagegen ist im Code jederzeit überprüfbar und gibt dem Nutzer damit einen Teil seiner Kontrollfunktionen und digitalen Souveränität zurück.

Die bleibt jedoch auf der Strecke, wenn die Software als SaaS ausschließlich zentral gehostet angeboten wird. Kunden sollten vielmehr die freie Wahl haben, Software Services auch in ihrer eigenen Cloud zu hosten und so die Kontrolle selbst zu übernehmen. Ein integriertes Access Right Management übernimmt dann die Definiton der Rollen und Zugriffsrechte. Als letzte und höchste Privacy-Stufe kann die Ende-zu-Ende-Verschlüsselung eingesetzt werden, im Falle der Videokonferenzen beispielsweise über WebRTC, ähnlich einem VPN-Tunnel. Selbst mit höchsten Admin-Rechten ist damit kein Zugriff mehr möglich.

Andrea Wörrlein, Geschäftsführerin und -Verwaltungsrätin
Andrea Wörrlein
Geschäftsführerin und -Verwaltungsrätin, VNC

Artikel zu diesem Thema

DSGVO
Apr 19, 2021

Drei Jahre DSGVO: Die fünf größten Fallstricke bei der Umsetzung

Die DSGVO stellt die IT-Verantwortlichen vor die große Herausforderung, einen…
Europa Digitalisierung
Mär 24, 2021

Sechs Bausteine für ein digital souveränes Europa

Der Großteil der hierzulande genutzten digitalen Infrastrukturen, Plattformen,…
Brief von der Datenschutz Behörde
Apr 24, 2020

Zunehmende DSGVO-Geldbußen rücken „Privacy by Design“ ins Interesse

Der Datenschutz hat sich seit der Einführung der Datenschutz-Grundverordnung (DSGVO) in…

Weitere Artikel

Papiertiger

Drei Jahre DSGVO: Effektives Werkzeug oder Papiertiger?

Als die Datenschutz-Grundverordnung (DSGVO) im Mai 2018 EU-weit offiziell in Kraft trat, waren die Hoffnungen der Datenschützer groß. Endlich sollten Verletzungen des Schutzes personenbezogener Daten mit erheblichen Geldstrafen geahndet, Digitalkonzerne wie…
Digitale Signaturen

Digitale Signaturen: Entrust stellt Remote Signing Service vor

Entrust, Anbieter im Bereich vertrauenswürdige Identitäten, Zahlungen und Datenschutz, integriert mit seinem Remote Signing Service (RSS) hochsichere, verifizierbare Mitarbeiter-Signaturfunktionen in Dokumentanwendungen und Workflows.
Cookies

DSGVO-Beschwerden: Cookies im Fadenkreuz der Datenschützer

Es zeigt sich, dass Cookies für Unternehmen schnell eine Gefahrenquelle beim Thema Datenschutz werden können. Die Datenschutzaktivisten der Gruppe Noyb rund um Max Schrems haben Beschwerden an über 560 Unternehmen verschickt und nach eigener Aussage 10.000…
Digitale Signatur

Dokumente rechtssicher digital unterschreiben

Dokumente, wie Rechnungen, Verträge, Vollmachten, Finanzunterlagen oder Konstruktionszeichnungen, enthalten sensible Informationen oder Betriebsgeheimnisse. Damit diese rechtssicher und ihre Integrität sowie Vertrauenswürdigkeit gewahrt bleiben, müssen sie…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.