Der EDSA hat eine neue Version 2.0 der bereits 2019 erschienen Leitlinien zu Privacy by Design und Privacy by Default veröffentlicht. Eine Vergleichsfassung (Deltaview, PDF) findet sich hier.
Die Leitlinien sind in vielen Punkten nach wie vor recht luftig, enthalten aber Hinweise, auf welche Weise die Einhaltung der Bearbeitungsgrundsätze konkret sichergestellt werden kann.
Was die Leitlinien nicht ausdrücklich erläutern, ist das Verhältnis von Privacy by Design, Privacy by Default, Datensicherheit, Accountability und Folgenabschätzungen. Nach meiner Ansicht lässt sich dieses Verhältnis am einfachsten wie folgt darstellen:
- Privacy by Design ist der übergreifende Grundsatz und Ausgangspunkt der Betrachtung. Im Wesentlichen verlangt dieser Grundsatz, dass der Verantwortliche sich frühzeitig Gedanken macht, wie er die Einhaltung des Datenschutzes – besonders die Bearbeitungsgrundsätze, aber auch die weiteren Pflichten wie z.B. die Erfüllung der Betroffenenrechte – über den gesamten Daten-Lifecycle sicherstellt (EDSA: “Controllers need to implement the principles to achieve DPbDD. These principles include: transparency, lawfulness, fairness, purpose limitation, data minimisation, accuracy, storage limitation, integrity and confidentiality, and accountability”). In diesem Sinne ist Privacy by Design weniger ein Bearbeitungsgrundsatz, sondern ein Metagrundsatz, die auf die Verwirklichung der materiellen Grundsätze zielt und im diesem Sinne den Systemdatenschutz sicherstellt. Welche Anforderungen – d.h. welche technischen und/oder organisatorischen Anforderungen – sich daraus konkret ergeben, hängt vom konkreten Vorhaben ab, aber jedenfalls muss der Verantwortliche die Risiken für die Betroffenen abschätzen und sich Gedanken machen, wie er sie angemessen mitigieren kann.
- Der Grundsatz der Datensicherheit überschneidet sich stark mit dem Grundsatz von Privacy by Design, weil die Datensicherheit – als allgemeiner Grundsatz verstanden – die technische und organisatorische Absicherung des Datenschutzes insgesamt verlangt. In diesem Sinne ist er nicht auf die Einhaltung des technischen Datenschutzes im Sinne der IT Security beschränkt. Die entsprechende Grundlagennorm ist Art. 24 DSGVO. Diese wird dadurch konkretisiert, dass Art. 5 Abs. 1 lit. f und Art. 32 DSGVO bestimmte Schutzziele und Massnahmen aufgreift, die in erster Linie den technischen Datenschutz im Auge haben, also die klassischen Schutzziele der Integrität und Vertraulichkeit (neben der Verfügbarkeit und je nach Sichtweise weiterer Schutzziele). Diese engere Datensicherheit (IT Safety und IT Security) ist ein Teilbereich des allgemeinen Datenschutzes und daher im Rahmen der Privacy by Design mitzuberücksichtigen.
- Der Grundsatz von Privacy by Default seinerseits ist eine Ausprägung des Verhältnismässigkeitsgrundsatzes, oder vielmehr eine Konkretisierung dieses Grundsatzes spezifisch im Zusammenhang mit “Voreinstellungen”. Er ist auf letztere beschränkt und verlangt daher bspw. nicht, Einwilligungen einzuholen, die nach Art. 6, 9 oder 44 ff. DSGVO nicht erforderlich sind. Wie die anderen Bearbeitungsgrundsätze ist seine Einhaltung unter dem Titel von Privacy by Design zu planen und angemessen sicherzustellen.
- Unter dem Titel der Accountability muss der Verantwortliche seine Überlegungen und Entscheidungen im Sinne einer selbständigen Pflicht angemessen dokumentieren (in Bezug auf Sicherheitsmassnahmen z.B. durch passende Metriken, KPIs, wie der EDSA in den Guidelines anmerkt). Je höher die Risiken, desto höher die materiellen Anforderungen an den Verantwortlichen (und ggf. den Auftragsbearbeiter) und desto höher auch die Accountability-Anforderungen.
- Eine DSFA ist vor diesem Hintergrund keine neue oder andere Pflicht, sondern in erster Linie eine durch hohe Bruttorisiken ausgelöste Formalisierung der im Rahmen von Privacy by Design ohnehin bestehenden Pflicht, Risiken zu beurteilen, ihre Mitigierung zu planen und beides zu dokumentieren. So verstanden ist die Pflicht zur Durchführung der DSFA in erster Linie eine Konkretisierung des Accountability-Grundsatzes. Eigenständig ist demnach fast nur die Pflicht, die Datenschutzbehörden ggf. – bei hohen Nettorisiken – zu informieren. So betrachtet dient die Durchführung einer DSFA in vielen Fällen eigentlich nur der an sich ohnehin erforderlichen Dokumentation des allgemeineren Risikomanagements. Die freiwillige Durchführung einer DSFA kann daher häufig sinnvoll sein (wobei die Freiwilligkeit ausdrücklich festgehalten werden sollte, z.B. als Teil eines entsprechenden Formulars). Im Ergebnis besteht deshalb zwischen dem allgemeinen Vorgehen und einer DSFA weniger ein kategorieller Unterschied, sondern eher ein Unterschied bei der Tiefe und beim Detallierungsgrad der Durchführung und Dokumentation des Risikomanagements (abgesehen von der erwähnten Meldepflicht ggü. den Behörden, die nach dem revDSG aber entfallen kann, wenn ein Datenschutzberater bestellt wurde).