Logo

GMDS Arbeitsgruppe
„Datenschutz und IT-Sicherheit im Gesundheitswesen“ (DIG)

Datenschutzhinweise   Cookie-Hinweise   Impressum   Kontakt   Sitemap
Veranstaltungskalender

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 DS-GVO)

(Privacy by Design / Privacy by Default)

Privacy by Design/by Default betrifft sowohl technische als auch organisatorische Komponenten, also Anforderungen an IT-Systeme als auch Organisationsabläufe. Die Anforderungen müssen sowohl bei der Planung als auch bei der Durchführung einer Verarbeitung berücksichtigt werden. Da der Begriff der "Verarbeitung“ in Art. 4 Ziff. 2 DS-GVO sehr weit gefasst ist, müssen die Maßnahmen für den gesamten Lebenszyklus der Daten gewährleistet werden. Da sich im zeitlichen Verlauf die Anforderungen bzgl. der Geeignetheit der Maßnahmen ändern können, handelt es sich bei Privacy by Design/Default nicht um einen einmaligen Vorgang, sondern vielmehr um einen fortlaufenden Prozess.
Dabei werden zwei Aspekte adressiert. Einerseits muss der Verantwortliche sowohl bei der Planung, also zum Zeitpunkt der Festlegung der Zwecke und Mittel der Verarbeitung, als auch zum "Zeitpunkt der eigentlichen Verarbeitung“ geeignete Maßnahmen ergreifen ("Datenschutz durch Technikgestaltung"). Andererseits ist die Verarbeitung mit "datenschutzfreundliche Voreinstellungen“ durchzuführen.
Dabei müssen die getroffenen technischen und organisatorischen Maßnahmen geeignet sein,Dabei kann eine betriebswirtschaftliche Abwägung zwischen verschiedenen gleichermaßen geeigneten Maßnahmen bzgl. der Implementierungskosten erfolgen, nicht jedoch der Durchführungs- oder Folgekosten.
Weiterhin ist der "Stand der Technik“ zu berücksichtigen, was im Kontext dieses Themas wohl bedeutet, dass die von Ann Cavoukian aufgestellten "The 7 Foundational Principles“ berücksichtigt werden müssen.
Auch für die Anforderungen von Art. 25 DS-GVO, also den Anforderungen bzgl. Privacy by Design und Privacy by Default, bestehen für den Verantwortlichen Nachweispflichten. Daher muss der Verantwortliche bei der Dokumentation der Verarbeitung stets auch die aus Art. 25 DS-GVO resultierenden Anforderungen adressieren und deren Erfüllung darstellen.

Die Ausarbeitung wurde unter einen Creative Commons-Lizenz (4.0 Deutschland Lizenzvertrag) veröffentlicht. Um sich die Lizenz anzusehen, gehen Sie bitte ins Internet auf die Webseite https://creativecommons.org/licenses/by-sa/4.0/deed.de bzw. für den vollständigen Lizenztext auf die Webseite https://creativecommons.org/licenses/by-sa/4.0/legalcode.

Download der Ausarbeitung:

(Stand: 28. April 2018)