Die Grundprinzipen des Datenschutzes für UnternehmenFairer Datenschutz ist möglich
18. Mai 2021Viele Unternehmen sind als Datenkraken verschrien. Deutsche Verbraucher geben zwar einerseits viel von sich preis, aber sie meiden auch Anbieter, die ihre persönlichen Daten bis ins kleinste Detail erfassen und mit anderen beliebig teilen.
Schlechte Reputationen sind außerdem die Folgen – zu Recht. Denn versteckte Datenschutz-Einstellungen, standardmäßig aktivierte Datenübertragungen oder unverständliche Bedingungen für die Nutzung einer Funktion sind nicht akzeptabel. Anwender müssen die Sicherheits- und Datenschutzfunktionen leicht finden und verstehen, damit sie den Umgang mit ihren Daten kontrollieren und ihre Datenschutzrechte wahrnehmen können. Dazu dient der Ansatz Privacy by Design, die standardmäßige Integration von Datenschutz bei der Entwicklung neuer Technologien und Systeme.
Entwickler, Designer und Product Ownern sind dafür verantwortlich, ihre Nutzer aufzuklären. Datenschutz fängt bei ihren Produkten an. Es ist ein Bestandteil von gültigen Rechtsvorschriften wie der Europäischen Datenschutz-Grundverordnung (EU-DSGVO), die Datenschutzprinzipien über den gesamten Lebenszyklus eines Produkts oder einer Dienstleistung hinweg umzusetzen. Privacy by Design heißt, Datenschutz bereits bei der Entwicklung standardmäßig in neue Technologien und Systeme zu integrieren.
Das Konzept wurde zwar bereits erstmals Mitte der 1990er Jahre von Dr. Ann Cavoukian als Ansatz der Systementwicklung eingeführt, es wird aber bislang noch nicht umfassend beachtet. Allerdings verlangen Regelwerke wie die DSGVO nicht nur, dass Unternehmen auf Datenschutzverstöße reagieren, sondern auch, dass sie die Anforderungen an den Datenschutz bereits bei der Produktgestaltung umsetzen.
Privatsphäre und KI – kein Widerspruch
Oft sammeln Unternehmen möglichst viele Daten in der Annahme, dass diese, einmal erfasst, wahrscheinlich in Bälde nützlich werden. Speziell beim Thema maschinelles Lernen und KI lautet das Argument für übermäßige Datenerfassung, dass die Modelle desto genauer werden mit je mehr Daten sie gefüttert werden. Dagegen verpflichtet ein zentrales Prinzip von Privacy by Design Produktentwickler und Serviceanbieter ausdrücklich zur Datenminimierung und zur Begrenzung der Datensammlung auf Vorrat. Unternehmen sollten vielmehr nur die Informationen sammeln und verarbeiten, die notwendig sind, um den angestrebten Zweck zu erreichen.
Auch die Verwendung von sogenannten Dark Patterns, einer manipulativen Gestaltung, die Anwender absichtlich täuschen oder ihr Verhalten steuern, um die Konversionsrate zu heben, sind nicht akzeptabel. Die Nutzerfreundlichkeit von App-Einstellungen ist genauso wichtig wie der Rest des Softwaredesigns. Anwender müssen die Sicherheits- und Datenschutzfunktionen leicht finden und verstehen können, damit sie den Umgang mit ihren Daten kontrollieren und ihre Datenschutzrechte wahrnehmen können. Sehr versteckte Datenschutzeinstellungen einer Anwendung und auch die standardmäßige Aktivierung aller Datenfreigaben und Erlaubnisse zur Weitergabe sind eine Nötigung der Anwender. Es liegt in der Verantwortung von Entwicklern, Designern und Product Ownern, ihre Nutzer in einfachen Worten aufzuklären und als souveräne Datensubjekte ernst zu nehmen.
Privacy by Design – ein Schutzprinzip vor unerlaubten Datensammlungen
Es ist erforderlich, dass Unternehmen die Privacy-by-Design-Prinzipien und -Anforderungen aktiv in den gesamten Prozess des Produkt- und Servicedesigns einbeziehen. Sie müssen kritisch hinterfragen, ob persönliche Daten ausreichend sicher behandelt werden.
Das Ethics Centre in Australien hat dazu eine Liste von „Prinzipien für gute Technologie“ veröffentlicht. Diese sollten alle Produktentwickler und Serviceanbieter befolgen:
- „Soll“ vor „kann“: Die Tatsache, dass etwas getan werden kann, heißt nicht, dass es auch getan werden sollte.
- Non-Instrumentalismus: Niemals Technik entwerfen, bei der der Mensch nur ein Teil der Maschine ist.
- Selbstbestimmung: Möglichst viel Freiheit für diejenigen, die das Design konkret betrifft, also beispielsweise die Endnutzer.
- Verantwortung: Alle denkbaren Verwendungsmöglichkeiten überdenken und berücksichtigen. Die Technologie entsprechend entwickeln und gestalten.
- Netto-Nutzen: Das Gute vergrößern, das Schlechte möglichst verkleinern.
- Fairness: Gleiche Fälle gleich behandeln, unterschiedliche Fälle unterschiedlich.
- Zugänglichkeit: Mit Blick auf die schwächsten Anwender einfach und transparent gestalten.
- Zweck: Ehrlich, klar und dem Zweck angemessen designen.
Diese Prinzipien gelten nicht nur für die Entwicklung eines neuen Produkts. Weil sich digitale Lösungen mit der Zeit weiterentwickeln – und damit oftmals auch neue Anwendungszwecke – sollten Verantwortliche sie immer wieder auf neue Verwendungsmöglichkeiten und entsprechende Risiken überprüfen. Im Sinne des Privacy of Design-Ansatzes sollen die Unternehmen und damit die Produktverantwortlichen die Entwicklungen immer wieder hinterfragen und ihre Anwendungen entsprechend aktualisieren.
Roman Borovits ist Senior Systems Engineer bei F5 Networks.