Zug, 04. Mai 2021, Privacy by Design ist im Rahmen der DSGVO-Einführung heiß diskutiert worden. Mittlerweile ist es jedoch erstaunlich ruhig darum geworden. Dabei ist der Gedanke, den Datenschutz von vornherein in der Technikgestaltung zu verankern, ebenso sinnvoll wie effektiv.
Souveränität und Kontrolle gehören zusammen. Nur wenn ich selbst die Kontrolle darüber habe, was mit meinen Daten passiert, kann ich auch souverän darüber verfügen. Deshalb ist Privacy by Design so wichtig. Sie verlagert die Datensouveränität und Entscheidungsgewalt vom Software-Anbieter zum Nutzer und macht ihn damit zum Herrn seiner eigenen Daten.
Privacy by Design ist ein Prinzip, das Datenschutz schon auf der technischen Ebene bei der Produktentwicklung mitdenkt und implementiert. Konsequent umgesetzt lässt es viele Zugriffs- und Manipulationsversuche ins Leere laufen, macht eine Reihe aufwändiger Schutz- und Prüfmaßnahmen überflüssig und vereinfacht die Kontrolle der eigenen Datensouveränität. Leider bleibt die DSGVO bei der Konkretisierung dessen, was Privacy by Design genau ist, sehr vage. Immerhin tauchen in diesem Kontext Begriffe wie Pseudonymisierung, Authentifizierung und Anonymisierung von Daten auf. Wie diese jedoch umgesetzt und deren Einhaltung kontrolliert werden sollen, bleibt offen. Gleiches gilt für den Geltungsbereich. Zuerst rückt natürlich der Schutz der persönlichen Daten ins Blickfeld, Privacy by Design muss aber auch die Vertraulichkeit der Metadaten und der Verbindungen sicherstellen. Dabei darf jedoch nicht vergessen werden, dass ein Minimum an Metadaten für elementare Systemfunktionen zugänglich bleiben muss. Ein häufig übersehener Punkt ist auch die Root-Admin-Protection. Sie verhindert, wenn gewünscht, dass ein mit umfassenden Rechten ausgestatteter Administrator Zugriff auf sämtliche Daten hat.
Privacy by Design ist idealerweise von Anfang an Leitmotiv und Handlungsanweisung bei der Software-Entwicklung. Und um später einmal kontrollieren zu können, ob sie diesem Anspruch auch tatsächlich gerecht wird, muss die Software quelloffen und unabhängig auditierbar sein. Closed Source, die ja im Kern bereits hermetisch angelegt ist, erfüllt diese Kriterien nicht und damit stellt sich die berechtigte Frage, ob sie mit der DSGVO überhaupt vereinbar ist. Open Source dagegen ist im Code jederzeit überprüfbar und gibt dem Nutzer damit einen Teil seiner Kontrollfunktionen und digitalen Souveränität zurück. Die bleibt jedoch auf der Strecke, wenn die Software als SaaS ausschließlich zentral gehostet angeboten wird. Kunden sollten vielmehr die freie Wahl haben, Software Services auch in ihrer eigenen Cloud zu hosten und so die Kontrolle selbst zu übernehmen. Ein integriertes Access Right Management übernimmt dann die Definiton der Rollen und Zugriffsrechte. Als letzte und höchste Privacy-Stufe kann die Ende-zu-Ende-Verschlüsselung eingesetzt werden, im Falle der Videokonferenzen beispielsweise über WebRTC, ähnlich einem VPN-Tunnel. Selbst mit höchsten Admin-Rechten ist damit kein Zugriff mehr möglich.
* Andrea Wörrlein ist Geschäftsführerin von VNC in Berlin und Verwaltungsrätin der VNC AG in Zug
VNC ist ein globales Software-Unternehmen, das Open-Source-basierte Anwendungen für die Kommunikation und Kollaboration in großen Unternehmen entwickelt. Mit seiner weltumspannenden Entwicklergemeinde hat VNC die integrierte Produktsuite VNClagoon geschaffen, die sich durch State-of-the-Art-Technologie, universelle Nutzbarkeit, geringe TCO sowie strikteste Schutz- und Sicherheitsmaßnahmen auszeichnet und so hilft, das Recht auf digitale Souveränität zu wahren. VNC positioniert sich damit als offene und sichere Alternative zu den etablierten US-Softwaregiganten. Zu den Kunden von VNC, mit Hauptstandorten in der Schweiz, Deutschland und Indien, gehören unter anderem Systemintegratoren, Finanz- und Gesundheitsdienstleister, Öffentliche Verwaltungen und Behörden, Telcos und Non-Profit-Organisationen
Weitere Informationen unter https://vnclagoon.com, auf Twitter unter @VNCbiz sowie auf LinkedIn.
Kontakt
Andrea Wörrlein
VNC – Virtual Network Consult AG
Poststrasse 24
CH-6302 Zug
Tel.: +41 (41) 727 52 00
aw@vnc.biz
Franziska Fricke
PR-COM GmbH
Sendlinger-Tor-Platz 6
80336 München
Tel. +49-89-59997-7o7
franziska.fricke@pr-com.de