Anzeige

Die DSGVO schreibt Privacy by Design für die Software-Entwicklung vor. Sie ist jedoch bei der Konkretisierung dessen, was Privacy by Design denn nun genau bedeutet, sehr vage.

VNC, Entwickler und Anbieter von Open-Source-basierten Unternehmensanwendungen, benennt die fünf Kernpunkte.

Privacy by Design ist neben Privacy by Default eines von zwei Leitmotiven für die Entwicklung sicherer Software, die in der Datenschutz-Grundverordnung verankert und damit für alle verbindlich sind. Wie die Prinzipien der Pseudonymisierung, Authentifizierung und Anonymisierung von Daten genau in der Praxis aussehen sollen, bleibt unklar. Zudem entwickeln sie ihre Wirkung erst dann, wenn sie über die Software-Entwicklung hinaus auch beim Software-Betrieb beachtet werden. VNC listet die fünf wichtigsten Vorgaben auf:

1. Access Rights Management:

Die wichtigste Voraussetzung für die Umsetzung von Privacy by Design innerhalb der Software selbst ist ein professionelles Zugriffs- und Rechte-Management. Hier erfolgt in einem eigenen Modul Identity Provider (IDP) über Rollenbeschreibungen die individuelle Zugriffssteuerung auf die Daten und Objekte.

2. Sicherheit der Verbindungen und der Metadaten:

Neben dem Schutz der persönlichen Daten muss Privacy by Design auch die Vertraulichkeit der Verbindungen und der Metadaten, wie beispielsweise IP-Adressen, sicherstellen. Dabei darf jedoch nicht vergessen werden, dass ein Minimum an Metadaten für elementare Systemfunktionen zugänglich bleiben muss. Dazu zählen beispielsweise die Objekt-IDs für das Routing zwischen verschiedenen Anwendungen. Sie müssen daher gesondert gesichert werden.

3. End-to-end-Verschlüsselung:

Verschlüsselung ist ein wichtiges Instrument zur Umsetzung von Privacy by Design. Im Falle von Videokonferenzen beispielsweise erfolgt sie über WebRTC, ähnlich einem VPN-Tunnel. Selbst mit höchsten Admin-Rechten ist damit kein Zugriff mehr möglich. Einschränkend muss allerdings deutlich gemacht werden, dass Daten durch die Verschlüsselung nur bedingt indizierbar sind und deshalb nur schlecht danach gesucht werden kann.

4. Root-Admin-Protection:

Ein mit umfassenden Rechten ausgestatteter Administrator hat in der Regel Zugriff auf sämtliche Daten. Software, die nach dem Prinzip von Privacy by Design entwickelt wurde, sollte das ausschließen und überflüssig machen. Andernfalls bleibt hier eine Lücke offen, die als Einfallstor für den nicht autorisierten Datenabgriff genutzt werden könnte und schlimmstenfalls als nicht DSGVO-konform eingestuft werden kann.

5. Flexibles Hosting:

Software-as-a-Service-Angebote werden häufig ausschließlich zentral gehostet angeboten und lassen dem Kunden somit keine Wahl. Damit entfällt die Option, Software-Instanzen in einer eigenen Private Cloud oder bei einem Dienstleister des Vertrauens zu hosten. Für ihre eigene digitale Souveränität sollten Anwender sich die Freiheit nicht nehmen lassen, Software dort zu hosten, wo sie es für richtig halten.

„Die Umsetzung von Privacy by Design ist ein komplexer Prozess mit einer Reihe von Herausforderungen“, betont Andrea Wörrlein, Geschäftsführerin von VNC in Berlin und Verwaltungsrätin der VNC AG in Zug. „Anwender müssen sich aktiv damit auseinandersetzen, damit sie bei Datenkontrolle und -souveränität keine böse Überraschung erleben.“

Andrea Wörrlein, Geschäftsführerin und -Verwaltungsrätin
Andrea Wörrlein
Geschäftsführerin und -Verwaltungsrätin, VNC

Artikel zu diesem Thema

DSGVO
Jul 06, 2021

Drei Jahre DSGVO-Bußgelder: Der Datenschutz hat Zähne bekommen

Anfang 2018 ging ein Gespenst um in Europa: Der neue Rechtsrahmen für den Datenschutz –…
Softwareentwicklung
Mai 05, 2021

Vorteile der Cloud-nativen Software-Entwicklung

Unternehmen, Organisationen und Behörden sind auf die schnelle Bereitstellung von…
digitale Souveränität
Mai 05, 2021

Privacy by Design ist die Voraussetzung für digitale Souveränität

Privacy by Design ist im Rahmen der DSGVO-Einführung heiß diskutiert worden. Mittlerweile…

Weitere Artikel

Cloud Computing

Eine Frage der Prioritäten: Datenschutz in Cloud-Umgebungen

In Folge der Pandemiebestimmungen scheint sich der Homeoffice-Betrieb zu einer festen organisatorischen Säule in Unternehmen zu etablieren.
Datensicherheit

Immer mehr Meetings: Deshalb ist Datensicherheit wichtig

Zoom, Teams, Skype und Co. – Videokonferenzen sind spätestens seit 2020 integraler Bestandteil des Berufsalltags geworden. Doch bereits vor Ausbruch der Pandemie waren virtuelle Meetings beliebt.
EMail

BIMI-Standard: Entrust kündigt Verfügbarkeit von Verified Mark-Zertifikaten an

Entrust, Anbieter im Bereich vertrauenswürdige Identitäten, Zahlungen und Datenschutz, gibt die allgemeine Verfügbarkeit seiner Verified Mark Zertifikate (VMCs) zur Unterstützung des „Brand Indicators for Message Identification (BIMI)“-Standards für starke…
Datenschutz

Ein Jahr Ende des Privacy Shields – Wie geht es jetzt weiter?

Ein Jahr ist es her, dass der Europäische Gerichtshof den sogenannten EU-US-Privacy Shield (auch EU-US-Datenschutzschild) für ungültig erklärte. Die Absprache war 2016 ausgehandelt worden und diente als Grundlage für den kommerziellen Datenaustausch…
Microsoft Office

Microsoft Office datenschutzkonform nutzen

Es ist kein Geheimnis: Bei der Nutzung von Microsoft Office werden die Daten in der Cloud gespeichert. Das ist wegen US Cloud Act und Schrems-II-Urteil datenschutzrechtlich problematisch. ownCloud erläutert, wie es eingesetzt werden kann, ohne gegen…
Videokonferenz

Videoconferencing muss kein Security-Albtraum sein

In den letzten Monaten wurden Videokonferenzen zum Rückgrat von Unternehmen und öffentlichen Einrichtungen. Doch bei vielen Lösungen bestehen Sicherheitsbedenken. Dabei passen Videoconferencing und Security zusammen. Vor allem auf zwei Bereiche kommt es an:…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.