Der Europäische Datenschutzausschuss (EDSA) hat Leitlinien zum Datenschutz durch Technikgestaltungund durch datenschutzfreundliche Voreinstellungen herausgegeben[1].Darin wird betont, wie wichtig es ist, die Datenschutzgrundsätze zu verstehen und anzuwenden (siehe den Abschnitt „Hauptgrundsätze“ im allgemeinen Teil dieser Leitlinien) und die Rechte der Betroffenen umzusetzen (siehe den Abschnitt „Rechte der betroffenen Personen“ im allgemeinen Teil dieser Leitlinien).
Die Bedeutung der Datenschutzgrundsätze kommt zum Beispiel in Absatz 61 zum Ausdruck: „Die Verantwortlichen müssen die Grundsätze umsetzen, um Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen zu gewährleisten. Zu diesen Grundsätzen gehören Transparenz, Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie die Rechenschaftspflicht. Diese Grundsätze sind in Artikel 5 und im Erwägungsgrund 39 der DSGVO dargelegt. Um die Umsetzung des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen umfassend verstehen zu können, wird betont, wie wichtig es ist, die Bedeutung der einzelnen Grundsätze zu erfassen.“
Die Bedeutung der Rechte der betroffenen Personen wird in Absatz 63 dargelegt: „Im Mittelpunkt dieses Kapitels steht die Umsetzung der Grundsätze; die Verantwortlichen sollten jedoch zudem ebenfalls in Einklang mit Kapitel III der DSGVO geeignete und wirksame Mittel zum Schutz der Rechte betroffener Personen anwenden, sofern dies nicht bereits durch die Grundsätze selbst vorgeschrieben ist.“
Die EDSA-Leitlinie widmet ihren Abschnitt 3 der Umsetzung der Datenschutzgrundsätze.Die PANELFIT-Leitlinien gehen darüber hinaus, indem sie eine detailliertere Beschreibung jedes Grundsatzes zusammen mit vielen Beispielen für technische und organisatorische Maßnahmen liefern, die zur Umsetzung dieser Grundsätze geeignet sind.
Wie die EDSA-Leitlinien analysiert auch der folgende Text die Bedeutung von Artikel 25 DSGVO.Der vorliegende Text versucht jedoch, zusätzliche konkrete Hinweise zu geben.Zu diesem Zweck enthält er nicht nur eine rechtliche Analyse der Phasen der Verarbeitung nach der DSGVO, sondern auch eine technische Analyse der Aufgaben, die für jede Phase erforderlich sind.Dies gilt insbesondere für die Festlegung der Mittel zur Verarbeitung und für die eigentliche Verarbeitung.Bei jeder der ermittelten Aufgaben können dann die Datenschutzgrundsätze angewandt sowie technische und organisatorische Maßnahmen ermittelt und umgesetzt werden.
Ein zweiter großer Unterschied zwischen dem vorliegenden Text und den EDSA-Leitlinien besteht darin, dass in ersterem der eigentliche Prozess der Anwendung desDatenschutzesdurch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen in den verschiedenen Phasen erörtert wird.
Ein kleiner Unterschied besteht darin, dass der vorliegende Text näher darauf eingeht, wie die Verantwortlichen die Anforderungen an die Hersteller von Software und Dienstleistungen weitergeben können.Der Text geht jedoch nicht auf die Vorteile einer Zertifizierung ein; sollte dies für die Leser relevant sein, werden sie auf die EDBP-Leitlinien verwiesen.
Quellenangaben
1Europäischer Datenschutzausschuss, Leitlinien 4/2019 zu Artikel 25Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen, Version 2.0, Angenommen am 20. Oktober 2020, https://edpb.europa.eu/sites/default/files/files/file1/EDSA_guidelines_201904_dataprotection_by_design_and_by_default_v2.0_en.pdf (zuletzt besucht am 30.11.2021). ↑