Datenschutz von Anfang an einbauen — nicht nachträglich hinzufügen.
DSGVO Art. 25 + EU AI Act Art. 10 kombiniert: Privacy by Design als Pflicht. Technische Maßnahmen: Differential Privacy, Federated Learning, Data Minimization, Pseudonymisierung. 7 Grundsätze nach Cavoukian.
Definition
Privacy by Design (PbD) wurde von Ann Cavoukian (Ontario IPC, 1990er) entwickelt und ist seit DSGVO (2018) rechtlich verpflichtend.
DSGVO Art. 25 Abs. 1:
Der Verantwortliche trifft […] geeignete technische und organisatorische Maßnahmen […] die dafür ausgelegt sind, die Datenschutzgrundsätze wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.
Die 7 Grundsätze (Cavoukian)
- Proaktiv, nicht reaktiv — Prävention statt Nachbesserung
- Datenschutz als Standard — Privacy by Default (Art. 25 Abs. 2)
- Datenschutz in Design — eingebaut, nicht aufgesetzt
- Volle Funktionalität — kein False Trade-off (Datenschutz ≠ Usability-Verlust)
- Ende-zu-Ende-Sicherheit — über gesamten Lebenszyklus
- Sichtbarkeit und Transparenz — prüfbare Maßnahmen
- Respekt für Nutzer — User-Centricity, Einwilligung
Privacy by Design für KI-Systeme
KI bringt spezifische PbD-Anforderungen:
| Prinzip | KI-Anwendung |
|---|---|
| Datensparsamkeit | Nur die für das Modellziel nötigen Daten |
| Zweckbindung | Trainingsdaten nur für definierten Zweck |
| Anonymisierung | Personenbezug aus Trainingsdaten entfernen |
| Federated Learning | Training ohne zentrale Datenspeicherung |
| Differential Privacy | Mathematische Privatsphäregarantien |
| Privacy by Default | Minimale Datenerfassung als Default |
Privacy by Design vs. Privacy by Default
| Privacy by Design | Privacy by Default | |
|---|---|---|
| Fokus | Technische Architektur | Standardeinstellungen |
| Artikel | DSGVO Art. 25 Abs. 1 | DSGVO Art. 25 Abs. 2 |
| Wann | Designphase | Deployment |
| Beispiel | Keine Logs als Architektur-Entscheidung | Opt-in statt Opt-out |
Datenschutz-Folgenabschätzung (DSFA) und PbD
PbD ist die präventive Maßnahme, DSFA (Art. 35) ist die systematische Risikobewertung. Beide zusammen:
1. Systemdesign (PbD einbauen)
↓
2. DSFA durchführen (Risiken identifizieren)
↓
3. Restrisiken behandeln
↓
4. Deployment + kontinuierliches MonitoringOCC und Privacy by Design
OCC selbst implementiert PbD:
- Keine Cookies, kein Tracking
- Anonymisierte Webserver-Logs (7 Tage)
- localStorage nur für UI-Präferenzen (kein Personenbezug)
- EU-Hosting (Hetzner, Deutschland)
- Keine externen Ressourcen (Google Fonts etc.)
Cytowanie
"Privacy by Design." Open Cognition Commons Foundation. https://opencognitioncommons.org/pl/glossary/privacy-by-design. CC-BY 4.0. Metadane czytelne maszynowo
{
"@context": "https://schema.org",
"@type": "DefinedTerm",
"name": "Privacy by Design",
"description": "Privacy by Design (PbD) ist das Prinzip, Datenschutz von Beginn an in die Architektur und Gestaltung eines Systems zu integrieren — statt Datenschutzmaßnahmen nachträglich hinzuzufügen. Rechtlich verankert in DSGVO Art. 25.\n",
"url": "https://opencognitioncommons.org/pl/glossary/privacy-by-design",
"license": "https://creativecommons.org/licenses/by/4.0/",
"alternateName": [
"Privacy by Design",
"PbD",
"Datenschutz by Design"
]
}