Spickzettel "Privacy by Design"

Privacy by Design (PbD) taucht immer häufiger in Diskussionen über Datensicherheit auf. Alexandra Ross, der Datenschutz-Guru, bringt es oft in ihren Beratungen mit ihren High-Tech-Kunden zur Sprache. Die verschiedenen Kernprinzipien wurden von US-Regierungsbehörden und anderen als bewährte Praktiken übernommen.

PbD ist etwa 20 Jahre alt und wurde von Ann Cavoukian, der früheren Datenschutzbeauftragten von Ontario, Kanada, entwickelt. Warum haben wir nicht schon mehr darüber gehört? Dem PbD wurde vorgeworfen, er sei zu vage, zu verbraucherorientiert und zu wenig technisch. Sicher, es ist kein formaler technischer Standard wie ISO 27001 oder PCI DSS.

Holen Sie sich das kostenlose Pen Testing Active Directory Environments EBook

„Das hat mir die Augen für AD-Sicherheit auf eine Weise geöffnet, wie es die defensive Arbeit nie getan hat.“

Betrachten Sie PbD als guten, soliden Ratschlag, der Sie bei Ihren Entscheidungen zur Datensicherheit unterstützt. Die Sicherheitsstandards, so komplex einige von ihnen auch sind, können nicht jedes mögliche Sicherheitsszenario abdecken, und hier kann PbD einspringen: Es ist, als hätte man einen mit Datensicherheit vertrauten Freund, zu dem man geht, wenn man mit einem Problem nicht weiterkommt.

Die sieben Prinzipien

Hier sind die PbD-Prinzipien mit einigen kurzen Worten dazu, was sie wirklich bedeuten:

Proaktiv statt reaktiv; präventiv statt abhelfend

Der Schlüsselgedanke hinter diesem ersten Prinzip ist, dass Sie zu Beginn der Datensicherheitsplanung über den Datenschutz nachdenken sollten – und nicht erst nach einer Datenverletzung. Betrachten Sie diesen Grundsatz als eine Art Stimmungsmacher für den Rest des PbD. Denken Sie immer an den Datenschutz (ABTP)!

Datenschutz als Standardeinstellung

Dies ist für Unternehmen, vor allem in der High-Tech-Welt, am schwierigsten zu begreifen. Sie sollten den Verbrauchern ein Höchstmaß an Datenschutz bieten: z. B. eine ausdrückliche Zustimmung, Sicherheitsvorkehrungen zum Schutz der Verbraucherdaten, eingeschränkte Weitergabe, minimierte Datenerfassung und Aufbewahrungsrichtlinien. Privacy by Default“ senkt daher direkt das Risikoprofil für die Datensicherheit: Je weniger Daten man hat, desto weniger Schaden richtet ein Verstoß an.

In das Design eingebetteter Datenschutz

Dies ist ein weiterer schwieriger Punkt, insbesondere für schnell wachsende High-Tech-Startups. Der Datenschutz sollte in das Design von IT-Systemen und Geschäftspraktiken integriert werden. Spricht man mit einem typischen Softwareentwickler, so macht er sich vor allem Gedanken über die Fertigstellung der Kernfunktionen des Produkts. Datensicherheitstechniken wie Verschlüsselung und Authentifizierung werden in der Regel in der Eile, mit der die Funktionen online gestellt werden, zurückgestellt. Und auch das Testen auf die häufigsten Schwachstellen in Software – typischerweise Injektionsangriffe – wird oft vernachlässigt. Diese Grundsätze zeigen den Entwicklern, dass sie den Datenschutz als eine Kernfunktion des Produkts betrachten sollten.

Vollständige Funktionalität – Positivsumme, nicht Nullsumme

Die Idee dahinter ist, dass PbD die Geschäftsziele nicht beeinträchtigt. Im Grunde kann man Datenschutz, Umsatz und Wachstum haben. Sie opfern nicht das eine für das andere. Betrachten Sie dies als einen Beitrag zur Etablierung einer PbD-Kultur in Ihrem Unternehmen.

Ende-zu-Ende-Sicherheit – Schutz über den gesamten Lebenszyklus

Der Schutz der Privatsphäre folgt den Daten, wohin auch immer sie gehen. Die gleichen PbD-Prinzipien gelten, wenn die Daten zuerst erstellt, mit anderen geteilt und dann schließlich archiviert werden. Angemessene Verschlüsselung und Authentifizierung sollten die Daten bis zur endgültigen Löschung schützen.

Sichtbarkeit und Transparenz – Keep it Open

Dies ist der Grundsatz, der dazu beiträgt, Vertrauen bei den Verbrauchern aufzubauen. Die Informationen über Ihre Datenschutzpraktiken sollten offen und in nicht-juristischer Sprache abgefasst sein. Es sollte einen klaren Rechtsbehelfsmechanismus für die Verbraucher geben, und die Zuständigkeiten innerhalb der Organisation müssen festgelegt werden.

Respect for User Privacy – Keep it User-Centric

Dieser letzte Grundsatz macht deutlich, dass die Daten den Verbrauchern gehören. Die von der Organisation gespeicherten Daten müssen korrekt sein, und der Verbraucher muss die Möglichkeit haben, Korrekturen vorzunehmen. Der Verbraucher ist auch der Einzige, der seine Zustimmung zur Verwendung der Daten erteilen und widerrufen kann.

Spickzettel „Privacy by Design“