Privacy by Design: ISO-Standard 31700 für Verbraucherprodukte
Am Mittwoch tritt ein Standard in Kraft, der Datenschutz schon von der Konzeptphase an in den gesamten Produktzyklus einbinden sollen. Er ist nicht verbindlich.
(Bild: Wright Studio/shutterstock.com)
Ab sofort gibt es einen Standard für Privacy by Design. Er soll dabei helfen, Datenschutz schon von Anbeginn des Designs eines Produkts oder einer Dienstleistung zu berücksichtigen; anschließend soll Datenschutz über die Entwicklung und die Vermarktung bis zum Ende des Produktzyklus mitgetragen werden. Dafür hat die Internationale Organisation für Normung (ISO) den Standard ISO 31700 ausgearbeitet, der am Mittwoch in Kraft tritt.
Das zweiteilige Dokument baut auf dem Grundsatz des "Privacy by Design" auf. Der erste Teil, ISO 31700-1, erklärt 30 Prozedere. Das beginnt bei einer Produktgestaltung, die Verbraucher in die Lage versetzt, ihre Datenschutzrechte durchzusetzen, und führt über das Design von User Interfaces, der Kommunikation mit Verbrauchern, der Vorbereitung auf Datenschutzverletzungen, Risikoassessments, der Einschätzung der Datenschutzfähigkeiten beteiligter Dritter sowie Tests von Datenschutzeinstellungssystemen und der Berücksichtigung von Datenschutz beim Design von Datensicherheitsvorkehrungen bis zu Maßnahmen für die Einstellung eines Produkts oder einer Dienstleistung.
Auch Vorkehrungen für die Datenhaltung durch Verbraucher selbst werden thematisiert. Im zweiten Teil, ISO 31700-2, werden Beispiele erörtert, die das Verständnis des Standards und dessen Umsetzung erleichtern sollen. Gezeigt wird die Anwendung des Standards bei einem Online-Shop, einem Fitnessstudio sowie vernetzten Türschlössern.
Die Idee des Datenschutzes durch Technik beziehungsweise Privacy by Design wurde bereits in den 1990er-Jahren unter anderem vom ehemaligen niederländischen Datenschutzbeauftragten John Borking entwickelt. Die damalige Datenschutzbeauftragte der kanadischen Provinz Ontario, Ann Cavoukian, hat mit ihren sieben Prinzipien des Privacy by Design den Datenschutz auch für Unternehmen fassbar gemacht. Das Europäische Parlament griff das Konzept 2007 in einer Entschließung auf, die EU-Kommission brachte es 2012 in ihren Entwurf für die Datenschutz-Grundverordnung (DSGVO) ein.
Von Cambridge Analytica zum globalen Standard
Die ISO-Arbeitsgruppe für den neuen ISO-Standard 31700 wurde 2018 gegründet; damals sorgte gerade Metas Cambridge-Analytica-Skandal für Ärger. Die Arbeitsgruppe wurde vom ISO-Komitee COPOLCO ins Leben gerufen, das sich mit Standards aus Verbrauchersicht befasst. Entsprechend soll ISO 31700 nicht nur zu besserer Einhaltung von Datenschutzvorschriften führen, sondern auch das Vertrauen der Verbraucher in die Datenschutzpraktiken bei ihren Vertragspartnern fördern.
Cavoukian unterstützte das Ansinnen. "Die meisten Datenschutzverletzungen bleiben unbeantwortet, unreguliert und geheim", sagte die Expertin damals, "Compliance mit Regulierung als alleiniger Ansatz für die Zukunft des Datenschutzes ist nicht nachhaltig. Es braucht Vorbeugung."
Heute ist die Kanadierin enthusiasmiert, weil ISO den Standard tatsächlich hervorgebracht hat: "Es ist wunderbar, dass ISO das macht", sagte sie laut IT World Canada, "Das wird ein Meilenstein des Datenschutzes." Der Standard werde Unternehmen aller Art dabei helfen, Privacy by Design umzusetzen, "weil der Standard so einfach anzuwenden ist." Datenschutz by Design sei kein Widerspruch zu gutem Geschäftserfolg, sondern vielmehr ein Wettbewerbsvorteil.
ISO 31700 ist nicht gebührenfrei herunterzuladen; ISO nimmt 166 Schweizer Franken für eine Kopie des ersten Teils, 145 Franken für eine Kopie des zweiten Teils. Die Vorschau auf ISO 31700-1 sowie 31700-2 mag einen Eindruck von der Struktur der Dokumente vermitteln.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(ds)