§ 7 Sicherungsmechanismen zur Einhaltung der DSGVO / 2. Datenschutz durch datenschutzfreundliche Voreinstellungen – Data protection by Default

Rz. 52

Art. 25 Abs. 2 DSGVO enthält die Verpflichtung des Verantwortlichen, geeignete technische und organisatorische Maßnahmen zu treffen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit, heißt es im Gesetzestext wörtlich (sog. Data protection by Default, nachfolgend kurz: DpD).

Rz. 53

Die Verpflichtung zur Etablierung von DpD-Maßnahmen durch den Verantwortlichen konkretisiert die in Art. 5 Abs. 1 lit. b) und c) DSGVO normierten Datenschutzgrundsätze der Zweckbindung und der Datenminimierung.^[80] Nähere Angaben dazu, wie dieser Grundsatz umzusetzen ist, finden sich in der DSGVO nicht. Art. 25 DSGVO wird gleichwohl in dem Sinne zu verstehen sein, dass der Grundsatz der datenschutzfreundlichen Voreinstellungen sowohl innerhalb des Verantwortlichen, als auch im Verkehr mit Dritten zu beachten ist.

Rz. 54

Ein anschauliches Beispiel für "datenschutzunfreundliche Voreinstellungen" liefert ein lesenswerter Beitrag von Franck,^[81] der sich – zwar im Wesentlichen wettbewerbsrechtlich motiviert – mit von zahlreichen Herstellen mobiler Endgeräte (Handys) im Rahmen der E-Mail-Funktionalität etablierten Voreinstellung einer Absendersignatur befasst, die darüber aufklärt, dass eine E-Mail von einem bestimmten Markengerät abgesendet wurde.^[82] Eine derartige Information ist sicherlich personenbezogen. Sie gibt Auskunft darüber, dass der Absender die E-Mail über ein Smart-Phone bearbeitet hat, welches Smart-Phone er nutzt (was wiederum Erkenntnisse zur vermeintlichen Kaufkraft des Absenders liefern könnte) und darüber, dass er zum Zeitpunkt des Verfassens einer E-Mail unterwegs war.^[83] Der kleine Satz, den die Smart-Phone-Hersteller sicherlich zu Werbezwecken^[84] einsetzen, ist damit weder datenschutzneutral, noch steht er im Einklang mit dem Grundsatz des DpD.

Rz. 55

Ähnliches gilt für die auf vielen Webportalen im Rahmen des Anmeldevorganges voreingestellt gesetzten Häkchen "angemeldet bleiben".^[85] Auch hier handelt es sich um eine datenschutzunfreundliche Voreinstellung, die zukünftig unzulässig sein dürfte.

Rz. 56

Innerhalb der Unternehmensorganisation eines Verantwortlichen könnte die Verpflichtung zur Umsetzung von DpD-Maßnahmen ggf. eine Verpflichtung begründen, Mitarbeiter, die mit Verarbeitungen befasst werden, durch entsprechende Software-Vorgaben darin zu unterstützen, nur solche personenbezogenen Daten zu verarbeiten, die für die vom Verantwortlichen verfolgten Zwecke auch erforderlich sind. Ein klassisches Beispiel für in der Regel unnötige Erhebungen sind die in vielen Softwarelösungen vorzufindenden sog. Freitextfelder, in die der Nutzer grundsätzlich jede Information ablegen kann, ohne dass eine Kontrolle hinsichtlich der datenschutzrechtlichen Erforderlichkeit derartiger Informationen stattfindet. Beispiel: Ein Kunde meldet sich auf eine Zahlungsaufforderung bei einem Sachbearbeiter seines Gläubigers und berichtet, dass er die Zahlung am Tag, an dem die Mahnung bei ihm eingegangen ist, überwiesen hat. Die für die Sachbearbeitung erforderliche Information, "auf Mahnung bezahlt durch Überweisung am" ist damit vorhanden. Der Kunde berichtet nunmehr jedoch darüber hinaus auch über die Gründe der nicht fristgerechten Zahlung.^[86] Der Mitarbeiter schreibt diese Informationen im Freitext mit, da sie ggf. nützlich sein könnten. Zudem soll einem etwaigen anderen Sachbearbeiter der Umgang mit dem Kunden erleichtert werden. So werden zahlreiche für die eigentliche Sachbearbeitung nicht erforderliche Informationen erhoben (= verarbeitet), die sich nicht auf ein bestehendes Vertragsverhältnis mit dem Schuldner beziehen, sondern auch besondere Kategorien personenbezogener Daten über Dritte (hier vielleicht den Partner des Schuldners und seine Gesundheit), weitergehende Informationen über den Schuldner und seine Beziehungen zu Dritten. Die Verarbeitung derartiger Daten ist in der Regel nicht erforderlich und folgt auch keiner konkreten Zweckfestsetzung. Freitextfelder werden einfach befüllt und verbleiben danach auf immer und ewig im System. Die datenschutzrechtliche Relevanz ist dabei unbestritten, so dass eine datenschutzfreundliche Voreinstellung in der beschriebenen Konstellation darin gesehen werden könnte, dass Freitextfelder entfernt und stattdessen auf eine strukturierte Datenerhebung gesetzt wird.

Rz. 57

Beispielhaft nennt Art. 25 Abs. 2 S. 3 DSGVO eine Maßnahme der datenschutzfreundlichen Voreinstellung, die darin bestehen soll, sicherzustellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden. Hier ist das automatisierte Teilen von Posts mit Dritten auf Social-Media-Plattformen angesprochen. Auch ohne Eingreifen d...