Privacy by Design: Praxisleitfaden fuer SaaS-Teams

Privacy by Design ist fuer SaaS-Teams ein Betriebsmodell, nicht nur ein juristischer Begriff. Sobald ein Produkt, ein interner Workflow oder ein Anbieter personenbezogene Daten verarbeitet, sollte das Team klaeren, welche Daten wirklich notwendig sind, wer sie sehen darf, wie lange sie aufbewahrt werden und welche Voreinstellungen gelten.

Artikel 25 DSGVO verlangt geeignete technische und organisatorische Massnahmen, damit Datenschutzgrundsaetze wirksam umgesetzt und Rechte betroffener Personen geschuetzt werden. Datenschutz durch Voreinstellung bedeutet, dass standardmaessig nur die fuer den jeweiligen Zweck notwendigen personenbezogenen Daten verarbeitet werden.

Praktisch beginnt das in der Produktplanung. Ausloeser sind neue Datenerhebung, neue Zwecke, neue Anbieter, KI- oder Analysefunktionen, breitere interne Sichtbarkeit, Exportfunktionen, Retention-Aenderungen oder geaenderte Defaults. Nicht jede Aenderung braucht eine grosse Bewertung. Aber jede relevante Aenderung braucht einen klaren Owner und eine kurze Entscheidungsspur.

Ein guter Review erfasst Zweck, Datenkategorien, betroffene Personen, Rechtsgrundlage, Anbieter, Zugriff, Aufbewahrung, Loeschpfad, Kommunikation an Nutzer oder Kunden, Risiken und Entscheidung. Bei hoeherem Risiko kann daraus eine DPIA, Sicherheitspruefung oder rechtliche Freigabe werden.

Die haeufigsten Fehler sind spaete Reviews, zu breite Voreinstellungen, fehlende Dokumentation, Fokus nur auf die sichtbare Oberflaeche und Drift nach dem Launch. Logs, Admin-Tools, Data Warehouses, Support-Tickets und Subprozessoren gehoeren ebenfalls in die Bewertung.

FAQ

Ist Privacy by Design dasselbe wie eine DPIA?

Nein. Eine DPIA ist eine spezifische Bewertung fuer hoeheres Risiko. Privacy by Design ist breiter und gehoert in normale Produkt- und Prozessentscheidungen.

Was sollte zuerst dokumentiert werden?

Zweck, Datenfelder, Defaults, Zugriff, Aufbewahrung, Anbieter, Risiko, Owner, Entscheidung und Launch-Nachweise.