Privacy by Design und Privacy by Default

06.05.2022 von Leon De Gottardi

Mit dem Inkrafttreten des revDSG werden die Grundsätze Privacy by Design und Privacy by Default eingeführt oder erweitert. Sie streben eine angemessene Massnahmenergreifung zum Zweck des Datenschutzes an. Die beiden Grundsätze werden nachfolgend näher erläutert.

Privacy by Design (Art. 7 Abs. 1 und 2 revDSG)

Der Grundsatz «Privacy by Design» (“Datenschutz durch Design”) besagt, dass der Datenschutz bereits bei der Software- und Hardwareentwicklung berücksichtigt werden muss. Das bedeutet, dass alle Datenbearbeitungssysteme von Beginn an so konzipiert werden müssen, dass ein wirksamer Datenschutz gewährleistet ist.

Eine vollständige Umsetzung dieses Grundsatzes ist nicht praktikabel. Der Gesetzgeber war sich dessen bewusst. Daher wird keine umfassende, sondern eine angemessene Umsetzung von «Privacy by Design» verlangt. Angemessen ist die Umsetzung, wenn Umsetzungsmassnahmen dem Stand der Technik entsprechen und wenn sie sich in der Praxis bereits als wirksam bewährt haben.

Welche konkreten Massnahmen ein Verantwortlicher ergreifen möchte, ist ihm stets selbst überlassen – solange sie wirksam sind. Zu den gängigsten Massnahmen gehören Datenminimierung, Anonymisierung, Pseudonymisierung, interne Regelungen zum Umgang mit Daten, Datentrennung nach Zweck und Löschkonzepte.

Verstösse gegen den Grundsatz «Privacy by Design» können grundsätzlich nicht sanktioniert werden. Der EDÖB ist aber im Einzelfall berechtigt gegen fehlbare Verantwortliche vorzugehen und ihnen Anordnungen zu erteilen.

Privacy by Default (Art. 7 Abs. 3 revDSG)

Der Grundsatz «Privacy by Default» (“Datenschutz als Standard”) dient dem Schutz von weniger technik- und datenschutzversierten Personen. Den Nutzenden wird oft die Möglichkeit eingeräumt, selber gewisse Datenschutzeinstellungen zu steuern (bspw. Speicherung von Login-Daten auf einer Webseite). «Privacy by Default» verpflichtet den Verantwortlichen die datenschutzfreundlichste Einstellung als Standardeinstellung zu wählen. Wenn Nutzende eine andere Einstellung wünschen, müssen sie diese ausdrücklich einstellen. So werden Personen, die sich nicht gut mit Technik und Datenschutz auskennen, vor datenschutzfeindlichen Standardeinstellungen geschützt.

Verstösse gegen den Grundsatz «Privacy by Default» können grundsätzlich nicht sanktioniert werden. Der EDÖB ist aber im Einzelfall berechtigt, gegen fehlbare Verantwortliche vorzugehen und ihnen Anordnungen zu erteilen. Es bleibt abzuwarten, wie sehr sich der EDÖB um die Durchsetzung von «Privacy by Default» bemühen wird.

Ratgeber Weitere Themen

Alle Themen anzeigen
Kontakt

Schildere uns Deinen Fall. Unsere Datenschutzexpert*innen beraten Dich gerne!

Christian Mitscherlich, MLaw, Rechtsanwalt, Partner

subscribe

Melde Dich für unseren Newsletter an, um auf dem Laufenden zu bleiben!

datenschutz.law logo

Domenig & Partner
Rechtsanwälte AG
Laupenstrasse 1
Postfach
CH-3001 Bern

Tel: +41 31 380 11 00
Fax: +41 31 380 11 09

datenschutz@domenig.law
www.domenig.law

Beiträge

Gesetzgebungen

Behördeninformationen

Rechtsprechung

Ratgeber

News

Ratgeber

Datenschutz Schweiz

Datenschutz Unternehmen

Datenschutz online

Die Personendaten

Datenschutz international

Glossar

News

Gesetze

Beratung

Datenschutzerklärung

Impressum