In seiner letztes Buch, „Warum Datenschutz wichtig ist“ (2022), Neil Richards verbindet Privatsphäre mit der sozialen Macht, die menschliche Informationen über andere ausüben. Da diese Macht nicht immer so kanalisiert wird, dass Menschen davon profitieren, ist die Gewährleistung der Privatsphäre menschlicher Informationen von größter Bedeutung für den Aufbau einer Gesellschaft, in der unsere Rollen als situierte Verbraucher und Arbeitnehmer geschützt sind und in der wir als Mitglieder dieser Gesellschaft vertrauen können aufeinander verlassen.

Richards zeigt auch, dass Menschen, die sich der zerstörerischen Kraft menschlicher Informationen bewusst sind, Bedenken haben, ihre persönlichen Daten vor Offenlegung zu schützen. Eine kürzlich durchgeführte weltweite Umfrage ergab, dass 88 % der Menschen besorgt darüber sind, dass andere auf ihre Daten zugreifen. Über 80 % der Menschen erwarten, dass Regierungen regulieren Datenschutz und diejenigen Unternehmen bestrafen, die die privaten Informationen von Personen nicht ehrlich und verantwortungsbewusst verwenden. Die Menschen sind so besorgt über den Datenschutz, dass sie selbst dann, wenn sie es wagen, ein E-Commerce-Geschäft aufzubauen oder online zu handeln, in einem Geschäft unterrichtet werden müssen oder ETF-Investitionen Schule über Datenschutz und Regeln über menschliche Informationen.

Das Problem ist, dass trotz aller technologischen Fortschritte zur Verfügung Datensicherheit Maßnahmen, die Regulierung der Privatsphäre ist nicht einfach. Die Technologie ändert sich ständig. Daten über das Internet verbreiten sich unvorhersehbar und schnell. Und das Schlimmste ist, dass die Wirtschaft des Internets und das nationale Sicherheitsmanagement von der Verwendung von Kundenprofilen und persönlichen Informationen profitieren. Auch Unternehmen ziehen es oft vor, die Privatsphäre ihrer Benutzer zu verletzen, anstatt ihre Geschäfte einzuschränken. Wenn man bedenkt, wie schlecht Regierungen und Unternehmen müssen Daten sammeln über Benutzer ist die Sicherstellung der Wirksamkeit von Datenschutzbestimmungen eine Herausforderung.

Die Lösung dieses Problems ist seit vielen Jahren ein Ansatz namens „Privacy by Design“ (PbD). Doch obwohl das viel gepriesene PbD erfunden wurde, um die in der digitalen Welt grassierenden Datenschutzverletzungen zu beheben, ist es nicht ohne einen Riss in seiner Rüstung, der seine Macht beeinträchtigt. Um seine Grenzen zu verstehen, lassen Sie uns verstehen, was PbD ist und warum es seit langem als der ultimative Schutz der persönlichen Daten von Menschen angekündigt wird.   

Geprägt in den 1990er Jahren von Ann Cavoukian, ehemaliger Information and Privacy Commissioner von Ontario, bezieht sich der Begriff „Privacy by Design“ auf Hilfsmittel für verschiedene Arten von IT-Systemen, die zur Verarbeitung personenbezogener Daten verwendet werden. Es ist so konzipiert, dass es standardmäßig in vernetzte Datensysteme und Technologien integriert und nicht später nachgerüstet werden kann. Es sollte eine Voraussetzung für Produkte und Dienstleistungen sein, die einzelnen Kunden angeboten werden, wie z. B. WLAN-Router, Suchmaschinen und soziale Netzwerke. Da die meisten Menschen ihre persönlichen Daten nicht selbst schützen können, müssen diese Anbieter standardmäßig einen grundlegenden Schutz bieten und ihn durch das Hinzufügen geeigneter Datenschutz-Tools, einschließlich Verschlüsselung, Zugriffskontrollen und Benutzeranonymität, stärken.

In ihrem manuell „Privacy by Design: The 7 Foundational Principles“ (2006) betont Cavoukian, dass PbD mehr tut, als nur Sicherheit zu gewährleisten. Es zielt darauf ab, die Menge der verarbeiteten personenbezogenen Daten zu minimieren. Dies wird erreicht, indem personenbezogene Kennungen von Inhaltsdaten getrennt werden. Cavoukian schlägt außerdem vor, dass die Anonymisierung oder Löschung personenbezogener Daten in den frühesten Phasen des Datenschutzes erfolgen sollte. Der frühzeitige Umgang mit dem Datenschutz ist einfacher und kostengünstiger. Dies kann Unternehmen auch dabei helfen, rechtliche Komplikationen im Zusammenhang mit den Datenschutzproblemen ihrer Kunden zu vermeiden.  

Die von Cavoukian skizzierten PbD-Anforderungen funktionieren praktisch wie folgt. Angenommen, ein Finanzinstitut plant, ein neues anzubieten Geldtransfer-Service entwickelt für die mobilen Geräte der Kunden. Das größte Datenschutzproblem im Zusammenhang mit Zahlungsüberweisungen ist die Historie der Zahlungsüberweisungen der Kunden. Wer kann darauf zugreifen? Als Kunde möchten Sie möglicherweise nicht, dass andere Benutzer wissen, wer Ihr Geld erhält. Wenn ein Finanzinstitut Ihnen nicht versichert, dass niemand außer Ihnen Ihren Zahlungsverlauf durchsuchen kann, werden Sie wahrscheinlich sein Angebot eines neuen Zahlungsdienstes ablehnen. Indem sie PbD nicht praktizieren, verlieren Finanzinstitute zwangsläufig ihre potenziellen Kunden.

Wenn jedoch Finanzinstitute den Datenschutz als Standard betrachten und ihn zu Beginn ihrer neuen Zahlungssystemprojekte in ihr Netzwerkdatensystem integrieren, werden Transaktionsaufzeichnungen nicht automatisch geteilt. Ihr Zahlungsverlauf wird standardmäßig vor neugierigen Blicken verborgen. Oder diese Finanzinstitute entscheiden sich möglicherweise dafür, auch diejenigen Kunden zu bedienen, die ihre Zahlungshistorie teilen möchten, und könnten eine solche Option in ihr Design aufnehmen. Sie könnten das Teilen in ihre Technologien integrieren und dadurch Kunden dazu einladen, sich dafür zu entscheiden, ihre Zahlungshistorie anderen offenzulegen. Wenn Finanzinstitute die PbD-Prinzipien während der Designphase übernehmen, verhindern sie wahrscheinlich das Auftreten von Datenschutzproblemen und bauen kundenfreundliche Unternehmen auf.

Obwohl vielversprechend und effektiv, steht PbD vor Herausforderungen. Oftmals weigert sich das Management von Finanzinstituten, sich aktiv an der Behandlung von Datenschutzproblemen zu beteiligen. Manager verstehen oft nicht, dass eine erfolgreiche Strategie für das stärkste Kapital ihres Unternehmens, nämlich die personenbezogenen Daten der Kunden, erfordert, dass sie dieses Kapital verwalten. Anstatt persönliche Informationen nur einzusehen und zu sammeln, müssen Finanzinstitute sie aktiv verwalten, indem sie ihre strategische Nutzung, Qualität und Verfügbarkeit optimieren. Doch nur wenige Manager wollen diese zusätzliche Aufgabe auf dem Teller haben. Nicht viele Finanzorganisationen sind bereit, den aktiven Umgang mit personenbezogenen Daten in ihr strategisches Asset Management zu integrieren und delegieren Datenschutzfragen lieber an Anwälte.

In ihr Artikel „The Challenges of Privacy by Design“ (2017) warnt Sarah Spiekermann, dass die Zurückhaltung von Managern beim aktiven Umgang mit personenbezogenen Daten nicht das einzige Hindernis ist, auf das Finanzinstitute bei der Einführung der PbD-Regeln stoßen könnten. Selbst überzeugten Befürwortern von PbD würde es ohne intelligente Ingenieure in ihren Finanzinstituten nicht gelingen, die richtige Strategie festzulegen. Eine starke IT-Abteilung ist Voraussetzung für die Umsetzung der PbD-Grundprinzipien. Da PbD voraussetzt, dass der Datenschutz technisch in das Design eines Systems integriert ist, muss dieses Design geändert werden, um den Schutz der privaten Informationen von Personen zu erhöhen. Finanzinstitute müssen daher ihre IT-Abteilungen ermutigen, von Beginn eines jeden IT-Projekts an die Privatsphäre der Kunden zu berücksichtigen. Informationsingenieure müssen Datenschutzprobleme in den frühen Phasen ihrer Projekte berücksichtigen, um sicherzustellen, dass sie noch Entscheidungen über die Verarbeitung, Übertragung und Speicherung von Daten treffen können.

Doch eine solch enge Zusammenarbeit zwischen Managern und Ingenieuren ist in Finanzinstituten nicht immer machbar. Auch die Privatsphäre der Kunden wird nicht immer zur Sorge der IT-Abteilungen gemacht. Dies ist ein bedauerlicher Zustand, denn nur durch gemeinsame Entscheidungen über technische und Governance-Kontrollen von Datenschutzproblemen können Manager und Ingenieure in Finanzorganisationen Kundendaten effektiv schützen, wie es die PbD-Prinzipien von ihnen verlangen.

PbD hat seine unbestreitbaren Vorzüge. Es bietet praktische und technisch aufwendige Schutzmaßnahmen. Es beinhaltet die Idee, dass Systeme so aufgebaut sein sollten, dass die Menge an personenbezogenen Daten, die von Personen gesammelt und verarbeitet werden, minimiert wird. Ihre Prinzipien sollten jedoch für mehr Personen verbindlich sein, die in Finanzinstituten tätig sind: Designer, Hersteller, Ingenieure und Datenverantwortliche, die über die Verwendung von IT-Systemen entscheiden. Nur wenn ihre Mitarbeiter in den frühesten Phasen eines Projekts gemeinsam das PbD-Prinzip anwenden, können Finanzinstitute garantieren, dass die Privatsphäre ihrer Kunden geschützt bleibt.