Anzeige

digitale Souveränität

Privacy by Design ist im Rahmen der DSGVO-Einführung heiß diskutiert worden. Mittlerweile ist es jedoch erstaunlich ruhig darum geworden. Dabei ist der Gedanke, den Datenschutz von vornherein in der Technikgestaltung zu verankern, ebenso sinnvoll wie effektiv. Ein Kommentar von Andrea Wörrlein, Geschäftsführerin von VNC in Berlin und Verwaltungsrätin der VNC AG in Zug.

Souveränität und Kontrolle gehören zusammen. Nur wenn ich selbst die Kontrolle darüber habe, was mit meinen Daten passiert, kann ich auch souverän darüber verfügen. Deshalb ist Privacy by Design so wichtig. Sie verlagert die Datensouveränität und Entscheidungsgewalt vom Software-Anbieter zum Nutzer und macht ihn damit zum Herrn seiner eigenen Daten.

Privacy by Design ist ein Prinzip, das Datenschutz schon auf der technischen Ebene bei der Produktentwicklung mitdenkt und implementiert. Konsequent umgesetzt lässt es viele Zugriffs- und Manipulationsversuche ins Leere laufen, macht eine Reihe aufwändiger Schutz- und Prüfmaßnahmen überflüssig und vereinfacht die Kontrolle der eigenen Datensouveränität. Leider bleibt die DSGVO bei der Konkretisierung dessen, was Privacy by Design genau ist, sehr vage. Immerhin tauchen in diesem Kontext Begriffe wie Pseudonymisierung, Authentifizierung und Anonymisierung von Daten auf.

Wie diese jedoch umgesetzt und deren Einhaltung kontrolliert werden sollen, bleibt offen. Gleiches gilt für den Geltungsbereich. Zuerst rückt natürlich der Schutz der persönlichen Daten ins Blickfeld, Privacy by Design muss aber auch die Vertraulichkeit der Metadaten und der Verbindungen sicherstellen. Dabei darf jedoch nicht vergessen werden, dass ein Minimum an Metadaten für elementare Systemfunktionen zugänglich bleiben muss. Ein häufig übersehener Punkt ist auch die Root-Admin-Protection. Sie verhindert, wenn gewünscht, dass ein mit umfassenden Rechten ausgestatteter Administrator Zugriff auf sämtliche Daten hat.

Privacy by Design ist idealerweise von Anfang an Leitmotiv und Handlungsanweisung bei der Software-Entwicklung. Und um später einmal kontrollieren zu können, ob sie diesem Anspruch auch tatsächlich gerecht wird, muss die Software quelloffen und unabhängig auditierbar sein. Closed Source, die ja im Kern bereits hermetisch angelegt ist, erfüllt diese Kriterien nicht und damit stellt sich die berechtigte Frage, ob sie mit der DSGVO überhaupt vereinbar ist. Open Source dagegen ist im Code jederzeit überprüfbar und gibt dem Nutzer damit einen Teil seiner Kontrollfunktionen und digitalen Souveränität zurück.

Die bleibt jedoch auf der Strecke, wenn die Software als SaaS ausschließlich zentral gehostet angeboten wird. Kunden sollten vielmehr die freie Wahl haben, Software Services auch in ihrer eigenen Cloud zu hosten und so die Kontrolle selbst zu übernehmen. Ein integriertes Access Right Management übernimmt dann die Definiton der Rollen und Zugriffsrechte. Als letzte und höchste Privacy-Stufe kann die Ende-zu-Ende-Verschlüsselung eingesetzt werden, im Falle der Videokonferenzen beispielsweise über WebRTC, ähnlich einem VPN-Tunnel. Selbst mit höchsten Admin-Rechten ist damit kein Zugriff mehr möglich.

Andrea Wörrlein, Geschäftsführerin und -Verwaltungsrätin
Andrea Wörrlein
Geschäftsführerin und -Verwaltungsrätin, VNC

Artikel zu diesem Thema

DSGVO
Apr 19, 2021

Drei Jahre DSGVO: Die fünf größten Fallstricke bei der Umsetzung

Die DSGVO stellt die IT-Verantwortlichen vor die große Herausforderung, einen…
Europa Digitalisierung
Mär 24, 2021

Sechs Bausteine für ein digital souveränes Europa

Der Großteil der hierzulande genutzten digitalen Infrastrukturen, Plattformen,…
Brief von der Datenschutz Behörde
Apr 24, 2020

Zunehmende DSGVO-Geldbußen rücken „Privacy by Design“ ins Interesse

Der Datenschutz hat sich seit der Einführung der Datenschutz-Grundverordnung (DSGVO) in…

Weitere Artikel

USA EU

Datentransfer in die USA so sicher wie möglich gestalten

Fast alle Unternehmen übermitteln über ihre eingesetzte Software unbemerkt Daten in die USA. Handelt es sich um personenbezogene Daten, bedeutet das häufig einen Verstoß gegen die Datenschutzverordnung.
Smartphone

Deutsche Smartphone-Nutzer legen viel Wert auf Privatsphäreeinstellungen

Anlässlich des Release der neuen iPhone 13-Reihe und der bedeutenden Datenschutz-Offensive von Apple haben die Datenschutzexperten von heyData, der digitalen Plattform für Datenschutzlösungen, eine Untersuchung veröffentlicht, die Aufschluss über die…
Kunden

6 Tipps für die datenschutzkonforme Lead-Generierung

Online-Marketing per E-Mail oder Newsletter wird immer mehr von der Kür zur Pflicht. Ein wichtiges Ziel ist die Lead-Generierung. Doch wer Direktmarketing im Netz betreibt, der sammelt personenbezogene Daten. Und deren Schutz verschärft der Gesetzgeber mehr…
DSGVO

Datenschutz setzt Unternehmen unter Dauerdruck

Ein aufwändiger Prüfprozess vor der Einführung jedes digitalen Tools, regelmäßig neue Entscheidungen der Aufsichtsbehörden und Gerichtsurteile in ganz Europa, die Auswirkungen auf das eigenen Unternehmen haben können – die Anforderungen an den Datenschutz…
Datenschutz

Die sechs häufigsten Datenschutzfehler in Unternehmen

Datenschutz, Informationssicherheit und die DSGVO: Immer wieder passieren Unternehmen die gleichen Fehler und Fehlinterpretationen. Die Konsequenzen reichen von kleinen Unannehmlichkeiten für die Firma oder deren Kunden über negative Bewertungen auf…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.