Spanische Aufsichtsbehörde: Leitfaden zu Privacy by Design

Die spanische Aufsichtsbehörde (Agencia española de protección de datos, AEPD) hat einen Leitfaden zu Privacy by Design veröffentlicht (PDF auf Englisch).

Die Behörde bzw. der Leitfaden geht von den folgenden Grundsätzen bzw. “foundational principles” aus:

Proactive not Reactive; Preventative not Remedial

Privacy as the Default Setting

Privacy Embedded into Design

Full Functionality: Positive-Sum, not Zero-Sum

End-to-End Security: Full Lifecycle Protection

Visibility and Transparency: Keep it Open

Respect for User Privacy: Keep it User-Centric

Diese Grundsätze werden im Folgenden erläutert. Im Anschluss hält die Behörde fest, dass die Pflicht zu Privacy by Design den Verantwortlichen (und selbstverständlich die gemeinsam Verantwortlichen), nicht aber Dienstleister betrifft. Dienstleister sind indirekt betroffen, indem ihre Kunden für deren Compliance auf entsprechend ausgestaltete Produkte angewiesen sein können.

In einem zweiten Teil erläutert die Behörde die datenschutzrechtlichen Anforderungen an die Gestaltung von Datenverarbeitungssystemen. Sie ordnet dafür die datenschutzrechtlichen Grundsätze in drei übergeordnete Schutzziele ein:

Nichtverkettbarkeit:
1. Datenminimierung
2. Speicherbegrenzung
3. Integrität und Vertraulichkeit
Transparenz
1. Rechtmässigkeit, Fairness und Transparenz
2. Zweckbindung
Kontrolle
1. Zweckbindung
2. Richtigkeit
3. Integrität und Vertraulichkeit
4. Rechenschaftspflicht (Accountability)

Integrität, Vertraulichkeit und Verfügbarkeit, d.h. die Schutzziele der Datensicherheit, sind enthalten, weil die Datensicherheit ein datenschutzrechtliches Gebot ist; der Datenschutz geht aber darüber hinaus, weshalb die datenschutzrechtlichen Schutzziele umfassender sind.

Diese Einteilung der Behörde ist nicht neu. Sie deckt sich teilweise mit dem deutschen Standard-Datenschutzmodell (SDM), mit dem die Einhaltung der datenschutzrechtlichen Anforderungen systematisch überprüfbar wird. Die deutsche Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSBK) hatte das Konzept der Schutzziele 2010 verabschiedet und 2015 wurde das SDM in Form eines Handbuchs veröffentlicht. Die aktuelle Version 2.0 wurde von der 98. Konferenz der DSBK vom 5. bis 7. November 2019 beschlossen.

David Vasella

10. November 2019

English

Behörde

AEPD (ESP)

Gebiet

Datenschutz, Security & Resilience

Themen

DSGVO 25, Privacy by design

häufige Suchwörter

Themen

Spanische Aufsichtsbehörde: Leitfaden zu Privacy by Design

EDSA: Richtlinien zum Anwendungsbereich des Cookie Consent, Anmerkungen zu Cookies nach schweizerischem Recht

Irland: Busse von EUR 345 Mio. gegen TikTok – Verletzungen der Informationspflicht und unzureichende TOMs betr. Kinder

EDSA: 2. Version der Leitlinien zu Privacy by Design und Privacy by Default / Anmerkungen zur Systematik

häufige Suchwörter

Themen

Spa­ni­sche Auf­sichts­be­hör­de: Leit­fa­den zu Pri­va­cy by Design

EDSA: Richt­li­ni­en zum Anwen­dungs­be­reich des Coo­kie Con­sent, Anmer­kun­gen zu Coo­kies nach schwei­ze­ri­schem Recht

DSK: Posi­ti­ons­pa­pier zu cloud­ba­sier­ten digi­ta­len Gesundheitsanwendungen

Irland: Bus­se von EUR 345 Mio. gegen Tik­Tok – Ver­let­zun­gen der Infor­ma­ti­ons­pflicht und unzu­rei­chen­de TOMs betr. Kinder

EDSA: 2. Ver­si­on der Leit­li­ni­en zu Pri­va­cy by Design und Pri­va­cy by Default / Anmer­kun­gen zur Systematik

Spanische Aufsichtsbehörde: Leitfaden zu Privacy by Design

EDSA: Richtlinien zum Anwendungsbereich des Cookie Consent, Anmerkungen zu Cookies nach schweizerischem Recht

DSK: Positionspapier zu cloudbasierten digitalen Gesundheitsanwendungen

Irland: Busse von EUR 345 Mio. gegen TikTok – Verletzungen der Informationspflicht und unzureichende TOMs betr. Kinder

EDSA: 2. Version der Leitlinien zu Privacy by Design und Privacy by Default / Anmerkungen zur Systematik