Privacy by Design: Datenschutz und Datensicherheit von Anfang an

13. Januar 2022
Ein Beitrag von Dr. Christian Thiel

Privacy by Design ist das vielleicht wichtigste Prinzip für den Vertrauensaufbau bei der Digitalisierung der öffentlichen Verwaltung. Denn es bedeutet nicht weniger als den Schutz der Privatsphäre von Anfang an konsequent mitzudenken. Auf dem diesjährigen Open Government Tag zeigten Dr. Christian Thiel und Dr. Robert Couronné vom Zentrum Digitalisierung Bayern, wie Datens­parsamkeit geht, ohne das Ziel der Daten­erhebung aus den Augen zu verlieren. In unserer Serie #ExplainIT erklären sie als Gastbeitrag unter anderem, warum der Mensch dabei ein wesentlicher Faktor ist.

Digitalisierung ist unsere Zukunft. Wir brauchen sie für die Teilhabe in unserer Gesellschaft, für Partizipation, für besseren Klimaschutz und viele andere große Ziele. Doch wir müssen die Digitalisierung verantwortlich und sicher gestalten. Ziel des Zentrum Digitalisierung.Bayern ist es, Wirtschaft und Wissenschaft zu vernetzen, um gemeinsam bessere Lösungen für die Digitalisierung zu schaffen. Im Fokus des Teams für Verbraucherbelange stehen digitale Produkte und Geschäftsmodelle für die private Nutzung. Die Arbeit wird durch das Bayerische Staatsministerium für Umwelt und Verbraucherschutz gefördert.

Privacy – warum ist das so wichtig?

Warum ist Datenschutz – Privacy – gerade für Staat und Gesellschaft wichtig? Unter anderem, weil er eine wesentliche Grundlage für eine offene und pluralistische Kultur der Meinungsbildung ist. Denn was passiert, wenn die Menschen davon ausgehen müssen, dass all die Informationen aus verschiedenen Datenquellen zusammen­gepuzzelt werden zu einem umfassenden intimen Bild ihrer Person? Dann werden viele nur noch das äußern und von sich preisgeben, was ihnen nutzt oder zumindest nicht schaden kann. Dann ist ein gesellschaftlicher Normierungsdruck da.

Mit Sensibilisierung und Vorbereitung die IT-Sicherheit erhöhen

Grundlage von Datenschutz ist die Datensicherheit. Ohne Cybersecurity sind im schlimmsten Fall alle Daten eines Computersystems für alle einsehbar. Leider erleben wir heute auch im öffentlichen Bereich spektakuläre Angriffe, die sogar Menschenleben kosten können, etwa wenn Kliniken von Hackerangriffen betroffen sind. Wir haben es da mit kriminellen Organisationen zu tun, die weltweit und sehr professionell agieren. Zudem steigt die Wucht der gezielten Angriffe über E-Mails und andere Kontakte. Deshalb gilt nach wie vor: Der wichtigste Schutz gegen Angriffe auf unsere Daten aus dem Internet ist die „Human Firewall“, der Mensch, der mitdenkt.

Deshalb haben wir alle die Verpflichtung, uns über wichtigsten Vorkehrungen bei Datensicherheit auf dem Laufenden zu halten, und das gilt umso mehr, als man mit persönlichen Daten anderer Menschen Umgang hat. Das ZD.B-Team Cybersecurity bietet dazu eine Awareness-Kampagne an – vorgefertigte E-Mails, die man als Unternehmen an seine Mitarbeitenden schicken kann. Wenn die Zielgruppe eher jünger ist, ist das für den Kinder­software­preis nominierte Spiel SpaceBurgers gut geeignet.

Auch auf dem München.Digital-Blog gibt es Informationen zu Cybersicherheit, unter anderem zum Thema Smishing oder zum Umgang mit Messengern. Zu den wichtigsten Themen gehören nach wie vor stetige Aufmerksamkeit für gefährliche E-Mails, und gute Passwörter.

Doch auch die Vorbereitung auf den Ernstfall sollte man nicht vergessen und dabei alle Beschäftigten einbinden. Wir empfehlen für solche Situationen die Notfallkarte des Bundesamt für IT-Sicherheit in der Informationstechnik.

Das Konzept Privacy by Design

Cybersicherheit und Privacy gleichzeitig fördern, das geht mit dem Konzept Privacy by Design. Es besagt, dass man Privacy von Anfang an präventiv bei der Entwicklung mitdenkt. Dazugehörige Strategien sind beispielsweise:

  • Minimieren: Nur die Daten erheben, die man wirklich für den konkreten Anlass braucht (Datensparsamkeit).
  • Verstecken: Jeder Arbeitsplatz hat nur das für ihn Notwendige auf dem Bildschirm.
  • Informieren: Jede und jeder weiß, wofür welche Daten verwendet werden.
  • Kontrolle überlassen: Die Bürgerinnen und Bürger haben die Möglichkeit zu entscheiden, welche Daten sie im Einzelfall wofür freigeben.

Privacy by Design adressiert dabei vor allem die Verantwortlichen für Software­entwicklung, aber auch alle, die sich mit Verwaltungs-Prozessen beschäftigen.

Beispiele für die Umsetzung von Privacy by Design

Ein gutes Beispiel für Transparenz und Kontrolle ist der Dienst M-Login. Da können die Nutzerinnen und Nutzer ihre Daten hinterlegen und immer wieder entscheiden, welche sie wofür freigeben – zum Beispiel für eine U-Bahn-Karte. So hat die Stadt München auch Vorgaben der DSGVO umgesetzt.

Als ein Muster für Daten­sparsamkeit von Apps gilt die Corona Warn App. Weil die Daten verschlüsselt werden und so lange lokal bleiben, bis tatsächlich ein positiver Fall aufgetreten ist. Wie es in der ersten Version der App funktioniert, sehen Sie per Link auf einer grafischen Darstellung der Corona Warn App von uns. Diese App hat außerdem gezeigt, dass die Umsetzung von Privacy by Design die Akzeptanz bei den potenziellen Kundinnen und Kunden unterstützt und damit den Erfolg sichert.

Kostenfrei und Open Source: Informationen und Hilfen

Hilfen für die Praxis bietet die Webseite privacybydesign.digital. Hier finden sich sogenannte „Privacy Patterns“ für die Produktentwicklung, sozusagen Kochrezepte für Entwicklerinnen und Entwickler, um Privacy by Design umzusetzen. Zusammengetragen wurden die Patterns vom Zentrum Digitalisierung.Bayern mit Unterstützung der Universität Ulm. Man findet beispielsweise konkrete Anleitungen zur

  • Bereitstellung situationsbedingter Datenschutzhinweise
  • Löschung unsichtbarer Metadaten
  • Verschlüsselung auf der Nutzerseite

Für Verwaltungseinrichtungen, die Datenflüsse in ihren Produkten sichtbar machen wollen, haben wir eine weitere konkrete Hilfestellung entwickelt: Der Data Process Modeler erlaubt es, mit wenig Aufwand anschaulich auf der eigenen Webseite zu zeigen, welche Daten für welche Zwecke verarbeitet werden – kostenfrei und Open Source.

Die vier Gründe, warum sich für die ganze Organisation der Einsatz von Privacy by Design lohnt, haben wir in einem eStrategy-Artikel zu Kundenvertrauen zusammengefasst. Eine gute Orientierung, was Kommunen generell für Cybersecurity tun können, bietet das Landesamt für Sicherheit in der Informationstechnik.

Fazit: Cybersecurity-Grundschutz sichert das Fundament ab. Darauf aufbauend ist Privacy by Design ein wichtiges und wirksames Konzept, um praktikablen Datenschutz präventiv in den eigenen Abläufen und Diensten zu verankern. Schließlich wird Privacy und Transparenz von immer mehr Bürgerinnen und Bürgern eingefordert.

Den gesamten Vortrag vom Open Government Tag 2021 finden Sie im folgenden Video. Alle anderen Beiträge im Nachbericht.

Die Gastautoren

Dr. Christian Thiel, promovierter Informatiker, leitet die Themenplattform Verbraucherbelange in der Digitalisierung am Zentrum Digitalisierung.Bayern. Immer im Fokus: Datensparsamkeit und Resilienz der digitalen Welt. E-Mail: christian.thiel@bayern-innovativ.de.

Dr. Robert Couronné, promovierter Ingenieur der Elektro- und Informationstechnik, leitet die Themenplattform Cybersecurity beim Zentrum Digitalisierung.Bayern. Er bringt viele Erfahrungen aus seiner Zeit bei Fraunhofer IIS mit. E-Mail: robert.couronne@bayern-innovativ.de.

1 Kommentar


Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Weitere Beiträge

Feedback zum Beitrag:
3 Bewertungen mit 5 von 5 Sternen
Dr. Christian Thiel - Zentrum Digitalisierung Bayern
Ein Gastbeitrag von:
Dr. Christian Thiel
Zentrum Digitalisierung Bayern
Dr. Robert Couronné - Zentrum Digitalisierung Bayern
Co-Autoren­schaft:
Dr. Robert Couronné
Zentrum Digitalisierung Bayern


Hinweis: Gastbeiträge sind persönliche Inhalte der Autor*innen und geben nicht die Ansicht der Landeshauptstadt München wieder.