Die spa­ni­sche Auf­sichts­be­hör­de (Agen­cia españo­la de pro­tección de datos, AEPD) hat einen Leit­fa­den zu Pri­va­cy by Design ver­öf­fent­licht (PDF auf Eng­lisch).

Die Behör­de bzw. der Leit­fa­den geht von den fol­gen­den Grund­sät­zen bzw. “foun­da­tio­nal princi­ples” aus:

  1. Proac­tive not Reac­tive; Pre­ven­ta­ti­ve not Reme­di­al
  2. Pri­va­cy as the Default Set­ting
  3. Pri­va­cy Embed­ded into Design
  4. Full Func­tio­n­a­li­ty: Posi­ti­ve-Sum, not Zero-Sum
  5. End-to-End Secu­ri­ty: Full Life­cy­cle Pro­tec­tion
  6. Visi­bi­li­ty and Trans­pa­ren­cy: Keep it Open
  7. Respect for User Pri­va­cy: Keep it User-Cen­tric

Die­se Grund­sät­ze wer­den im Fol­gen­den erläu­tert. Im Anschluss hält die Behör­de fest, dass die Pflicht zu Pri­va­cy by Design den Ver­ant­wort­li­chen (und selbst­ver­ständ­lich die gemein­sam Ver­ant­wort­li­chen), nicht aber Dienst­lei­ster betrifft. Dienst­lei­ster sind indi­rekt betrof­fen, indem ihre Kun­den für deren Com­pli­an­ce auf ent­spre­chend aus­ge­stal­te­te Pro­duk­te ange­wie­sen sein kön­nen.

In einem zwei­ten Teil erläu­tert die Behör­de die daten­schutz­recht­li­chen Anfor­de­run­gen an die Gestal­tung von Daten­ver­ar­bei­tungs­sy­ste­men. Sie ord­net dafür die daten­schutz­recht­li­chen Grund­sät­ze in drei über­ge­ord­ne­te Schutz­zie­le ein:

  1. Nicht­ver­kett­bar­keit:
    1. Daten­mi­ni­mie­rung
    2. Spei­cher­be­gren­zung
    3. Inte­gri­tät und Ver­trau­lich­keit
  2. Trans­pa­renz
    1. Recht­mä­ssig­keit, Fair­ness und Trans­pa­renz
    2. Zweck­bin­dung
  3. Kon­trol­le
    1. Zweck­bin­dung
    2. Rich­tig­keit
    3. Inte­gri­tät und Ver­trau­lich­keit
    4. Rechen­schafts­pflicht (Accoun­ta­bi­li­ty)

Inte­gri­tät, Ver­trau­lich­keit und Ver­füg­bar­keit, d.h. die Schutz­zie­le der Daten­si­cher­heit, sind ent­hal­ten, weil die Daten­si­cher­heit ein daten­schutz­recht­li­ches Gebot ist; der Daten­schutz geht aber dar­über hin­aus, wes­halb die daten­schutz­recht­li­chen Schutz­zie­le umfas­sen­der sind.

Die­se Ein­tei­lung der Behör­de ist nicht neu. Sie deckt sich teil­wei­se mit dem deut­schen Stan­dard-Daten­schutz­mo­dell (SDM), mit dem die Ein­hal­tung der daten­schutz­recht­li­chen Anfor­de­run­gen syste­ma­tisch über­prüf­bar wird. Die deut­sche Kon­fe­renz der Daten­schutz­be­auf­trag­ten des Bun­des und der Län­der (DSBK) hat­te das Kon­zept der Schutz­zie­le 2010 ver­ab­schie­det und 2015 wur­de das SDM in Form eines Hand­buchs ver­öf­fent­licht. Die aktu­el­le Ver­si­on 2.0 wur­de von der 98. Kon­fe­renz der DSBK vom 5. bis 7. Novem­ber 2019 beschlos­sen.

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.