1
2
3
4
5
6

Ann Cavoukian und die sieben Regeln zum Schutz der Privatsphäre.


Ann Cavoukian, die kanadische Datenschutzbeauftragte von Ontario, formulierte 2009 allgemeingültige Prinzipien, mithilfe derer Privatsphärenschutz in den Mittelpunkt der Technikgestaltung gerückt wurde. Im Artikel stellen wir die „Privacy by Design“ Richtlinien vor. In der anschließenden Übung und mit dem angehangenen Material können Sie die Richtlinien besser kennenlernen und praktisch ausprobieren.

Wir schreiben das Jahr 2009. Die Berliner Mauer ist seit 20 Jahren Geschichte. Barack Obama wird als erster afroamerikanischer Präsident in den USA vereidigt und das Wort des Jahres lautet „Abwrackprämie“. In diesem Jahr formuliert Ann Cavoukian die sieben „Privacy by Design“ (PbD; [1], [3]) Richtlinien und rückt damit Privatsphäre als Wert für Technikgestaltung in den Mittelpunkt.

Zur Person: Die in Kairo geborene Ann Cavoukian, emigrierte als Kind nach Kanada. Sie studierte bzw. promovierte im Fach Psychologie an der Universität in Toronto. Ende der 80er Jahre erhielt sie eine Anstellung in der Informations- und Datenschutzbehörde in Ontario, welche sie ab 1997 das erste Mal leitete. Das Amt begleitete sie bis 2014 und formulierte in dieser Zeit die Privacy by Design Richtlinien.

Ihre Motivation ist, dass bei allen Vorteilen technischer Innovation, die den Komfort und Effizienz von Nutzenden erhöhen, ebenso Entscheidungsfreiheit und persönliche Kontrolle über Daten gewahrt werden sollen [1]. Aufbauend auf den „Fair Information Privacy Principles“ (FIPPs; [1]; siehe Blog-Artikel vom 22.10.2024), die v.a. Organisationen im datenschutzkonformen Umgang mit personenbezogenen Daten unterstützen sollen, fokussieren die PbD - Richtlinien spezifischer auf technische Systeme und Produkte. Notwendig wurde dies laut der Autorin, weil Maßnahmen zum Schutz der Privatsphäre sich weiterentwickeln müssen, da Technologie alle Lebensbereiche zunehmend durchdringt. Darüber hinaus ist aus Sicht von Ann Cavoukian [1] der Schutz der Privatsphäre „der entscheidende Faktor für Vertrauen und Freiheit in unserer […] Informationsgesellschaft“.

Sie formulierte allgemeingültige Prinzipien mithilfe derer Privatsphärenschutz von einer gesellschaftlichen Norm, zu einem integralen Bestandteil von Organisationen, Projekten, Entwurfsprozessen, Planungsvorgänge werden kann. Im Kern zielt PbD darauf ab, in die Privatsphäre eingreifende Ereignisse noch bevor sie eintreten zu erkennen und zu verhindern.
Die sieben grundlegenden Prinzipien [3] [1] lauten:

  1. Proaktiv statt reaktiv vorgehen; Vorbeugung statt Nachsorge
  2. Datenschutz als Standardeinstellung wählen
  3. Datenschutz in das Design einbetten
  4. Volle Funktionalität absichern - Positiv-Summe, keine Nullsumme
  5. Durchgängige Sicherheit gewährleisten - Schutz über den gesamten Lebenszyklus
  6. Sichtbarkeit und Transparenz gewährleisten – für Offenheit sorgen.
  7. Die Privatsphäre der Nutzer respektieren – nutzerzentrierte Gestaltung sicherstellen

Die genaue Definition der einzelnen Prinzipien können Sie hier in unserer Übung erarbeiten und weiter festigen.

Kritisiert wurden die Prinzipien als zu (märchenhaft) abstrakt und wenig konkret für die Anwendung. Daraufhin entwickelten sich Initiativen für die Aus- und Überarbeitung konkreter Handlungsanweisungen, wie bspw. aktuellen Risiken von Softwareprodukten (OWASP Top Ten; [4]) begegnet werden kann. Privacy by Design hingegen bildet eine allgemeingültige und damit kontextunabhängige und überdauernde Grundlage, wie Privatsphärenschutz in Technikgestaltung und damit digitales Leben eingebettet werden kann. Daher wurde es nicht zuletzt auch in der Datenschutzgrundverordnung (DSGVO, Art. 25; [2]) aufgegriffen.

Um Ihr technisches Produkt hinsichtlich der PbD - Guidelines zu überprüfen, nutzen Sie unsere vorbereitete Checkliste: „Mein Produkt unter der Privacy by Design- Lupe“. Die Checkliste finden Sie zum Herunterladen und Ausfüllen im Anhang zu diesem Artikel.

Referenzen:

[1] Cavoukian, Ann (2009). 7 Foundational Principles. Revidierte Version abrufbar (2011) unter: https://iapp.org/media/pdf/resource_center/pbd_implement_7found_principles.pdf

[2] DSGVO, Art. 25 (2016). Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen. Abrufbar unter: https://dsgvo-gesetz.de/art-25-dsgvo/

[3] Information and Privacy Commissioner of Ontario (2018). Privacy by Design. Verfügbar unter: www.ipc.on.ca/en/media/3001/download?attachment

[4] Open Worldwide Application Security Project (OWASP) 2024. Top 10 Web Application Security Risks. Abrufbar unter: owasp.org/www-project-top-ten/

[1] übersetzt aus dem Englischen und als Aufforderung formuliert


18.11.24

Themen

Dateien

Weitere Informationen

Thema Fairness und Diversität

Kontakt
Susen Döbelt
Martin Köhler

1
2
3
4
5
6
 
Mittelstand Digital
BMWK
Das Mittelstand-Digital Netzwerk bietet mit den Mittelstand-Digital Zentren und der Initiative IT-Sicherheit in der Wirtschaft umfassende Unterstützung bei der Digitalisierung. Kleine und mittlere Unternehmen profitieren von konkreten Praxisbeispielen und passgenauen, anbieterneutralen Angeboten zur Qualifikation und IT-Sicherheit. Das Bundesministerium für Wirtschaft und Klimaschutz ermöglicht die kostenfreie Nutzung der Angebote von Mittelstand-Digital. Weitere Informationen finden Sie unter www.mittelstand-digital.de.