Privacy by Design: Ein praktischer Leitfaden für Softwareentwicklungsteams

Privacy by Design ist kein Vorschlag – es ist eine gesetzliche Anforderung gemäß Artikel 25 der DSGVO. Organisationen müssen „geeignete technische und organisatorische Maßnahmen“ ergreifen, um sicherzustellen, dass Datenschutzgrundsätze in die Verarbeitung selbst integriert werden. Dennoch betrachten die meisten Entwicklungsteams den Datenschutz als nachträglichen Gedanken und fügen Einverständniserklärungen und Cookie-Banner hinzu, nachdem die Architektur festgelegt wurde.

Dieser Leitfaden übersetzt die sieben Grundprinzipien von Privacy by Design in umsetzbare technische Praktiken, Entwurfsmuster und Implementierungen auf Codeebene.

Wichtige Erkenntnisse

• Privacy by Design bedeutet, den Datenschutz in Architekturentscheidungen einzubetten und ihn nicht später als Funktion hinzuzufügen – Datenminimierung auf Schemaebene verhindert von Anfang an eine Übererfassung
• Pseudonymisierung und Verschlüsselung bieten umfassenden Schutz bei Sicherheitsverstößen – Datenschutzerhaltende Analysen können geschäftliche Erkenntnisse liefern, ohne dass individuelle Benutzerdaten preisgegeben werden

---

Die sieben Prinzipien, die auf Software angewendet werden

1. Proaktiv, nicht reaktiv

Bauen Sie Datenschutzkontrollen auf, bevor Sie Daten sammeln, nicht nach einem Verstoß.

In der Praxis:

• Datenschutzanforderungen in die Akzeptanzkriterien für User Storys einbeziehen
• Führen Sie während der Architekturüberprüfungen ein Datenschutzbedrohungsmodell durch
• Erstellen Sie eine Datenschutz-Checkliste für jede Pull-Anfrage, die Benutzerdaten berührt

2. Datenschutz als Standardeinstellung

Benutzer sollten keine Maßnahmen zum Schutz ihrer Privatsphäre ergreifen müssen.

In der Praxis:

• Neue Benutzerkonten verwenden standardmäßig die minimale Datenfreigabe
• Beim Analytics-Tracking handelt es sich um ein Opt-in, nicht um ein Opt-out
• Die Profilsichtbarkeit ist standardmäßig auf „Privat“ eingestellt
• Die Datenspeicherung erfolgt standardmäßig auf die erforderliche Mindestdauer

// Default privacy settings for new users
const DEFAULT_PRIVACY_SETTINGS = {
  profileVisibility: 'private',       // Not 'public'
  analyticsTracking: false,           // Opt-in required
  marketingEmails: false,             // Opt-in required
  dataSharing: false,                 // Opt-in required
  activityLog: true,                  // Security feature, on by default
  twoFactorAuth: true,               // Security feature, on by default
};

3. Privatsphäre im Design integriert

Datenschutz ist eine Kernkomponente des Systems und kein Zusatz.

Datenbankschema-Design:

-- Privacy-aware schema design
CREATE TABLE users (
    id UUID DEFAULT gen_random_uuid() PRIMARY KEY,
    -- Separate PII from operational data
    email VARCHAR(255) NOT NULL,          -- PII
    email_hash VARCHAR(64) NOT NULL,      -- For lookups without exposing email
    name_encrypted BYTEA,                 -- Encrypted at rest
    -- Operational fields (non-PII)
    role VARCHAR(50) NOT NULL DEFAULT 'user',
    created_at TIMESTAMP DEFAULT NOW(),
    -- Privacy metadata
    consent_timestamp TIMESTAMP,
    consent_version VARCHAR(20),
    data_retention_until TIMESTAMP,
    deletion_requested_at TIMESTAMP
);

-- Separate sensitive data into its own table with stricter access
CREATE TABLE user_pii (
    user_id UUID PRIMARY KEY REFERENCES users(id) ON DELETE CASCADE,
    phone_encrypted BYTEA,
    address_encrypted BYTEA,
    date_of_birth_encrypted BYTEA,
    -- Audit trail
    last_accessed_at TIMESTAMP,
    last_accessed_by UUID
);

4. Volle Funktionalität (Positivsumme)

Datenschutz sollte nicht auf Kosten der Funktionalität gehen. Entwerfen Sie Systeme, die beides bieten.

Beispiel: Anstatt zwischen Personalisierung und Datenschutz zu wählen, verwenden Sie eine datenschutzfreundliche Personalisierung:

• Föderiertes Lernen: ML-Modelle werden auf lokalen Daten trainiert, nur aggregierte Ergebnisse werden geteilt
• Differenzierter Datenschutz: Fügen Sie der Analyse Rauschen hinzu, um eine individuelle Identifizierung zu verhindern
• Verarbeitung auf dem Gerät: Empfehlungen werden auf dem Gerät des Benutzers berechnet, nicht auf dem Server

5. End-to-End-Sicherheit

Schützen Sie Daten während ihres gesamten Lebenszyklus.

6. Sichtbarkeit und Transparenz

Benutzer müssen verstehen, was mit ihren Daten passiert.

Implementierung:

// Privacy dashboard API endpoint
@Controller('privacy')
export class PrivacyController {
  @Get('my-data')
  @ApiOperation({ summary: 'Get all personal data (GDPR Art. 15)' })
  async getMyData(@Req() req: AuthenticatedRequest) {
    return {
      profile: await this.userService.getProfile(req.user.sub),
      orders: await this.orderService.getUserOrders(req.user.sub),
      supportTickets: await this.supportService.getUserTickets(req.user.sub),
      loginHistory: await this.authService.getLoginHistory(req.user.sub),
      consentRecords: await this.consentService.getUserConsents(req.user.sub),
      dataProcessors: this.getDataProcessorList(),
    };
  }

  @Post('export')
  @ApiOperation({ summary: 'Export personal data (GDPR Art. 20)' })
  async exportMyData(@Req() req: AuthenticatedRequest) {
    // Generate machine-readable export (JSON)
    return this.privacyService.generateDataExport(req.user.sub);
  }

  @Post('delete')
  @ApiOperation({ summary: 'Request data deletion (GDPR Art. 17)' })
  async requestDeletion(@Req() req: AuthenticatedRequest) {
    return this.privacyService.initiateDataDeletion(req.user.sub);
  }
}

7. Respekt für die Privatsphäre der Benutzer

Stellen Sie den Benutzer bei jeder Designentscheidung im Mittelpunkt.

---

Privatsphäre-wahrende Architekturmuster

Muster 1: Datentrennung

Trennen Sie personenbezogene Daten von Betriebsdaten:

[Frontend] --> [API Gateway] --> [Application Service]
                                       |
                      +----------------+----------------+
                      |                                 |
              [Operational DB]                    [PII Vault]
              (Orders, products,                  (Names, emails,
               analytics - by ID)                  addresses - encrypted)

Muster 2: Einwilligungsgesteuerte Verarbeitung

// Consent middleware
async function requireConsent(purpose: string) {
  return async (req: Request, res: Response, next: NextFunction) => {
    const consent = await consentService.check(req.user.id, purpose);
    if (!consent.granted) {
      throw new ForbiddenException(
        `Processing for "${purpose}" requires user consent`
      );
    }
    next();
  };
}

// Usage
@Get('recommendations')
@UseGuards(requireConsent('personalization'))
async getRecommendations(@Req() req: AuthenticatedRequest) {
  return this.recommendationService.getForUser(req.user.sub);
}

Muster 3: Automatischer Datenablauf

// TTL-based data retention
const RETENTION_POLICIES = {
  supportTickets: { days: 1095, action: 'anonymize' },    // 3 years
  recruitmentData: { days: 730, action: 'delete' },        // 2 years
  analyticsEvents: { days: 365, action: 'aggregate' },     // 1 year
  sessionLogs: { days: 90, action: 'delete' },             // 90 days
  tempUploads: { days: 7, action: 'delete' },              // 7 days
};

---

Datenschutz bei Integrationen von Drittanbietern

Jede Drittanbieter-Integration stellt ein potenzielles Datenschutzrisiko dar. Wenn Ihre Anwendung Benutzerdaten an einen externen Dienst sendet, sind Sie dafür verantwortlich, wie dieser Dienst damit umgeht.

Integrations-Datenschutzbewertung

Vor der Integration eines Drittanbieterdienstes, der Benutzerdaten verarbeitet:

Häufige Datenschutzrisiken bei der Integration

Analytics: Google Analytics, Mixpanel und ähnliche Dienste erhalten Daten zum Nutzerverhalten. Nutzen Sie serverseitige Analysen oder Cookie-freie Alternativen (Plausible, Fathom), um die Datenexposition zu minimieren.

Zahlungsabwicklung: Stripe, PayPal und ähnliche Dienste verarbeiten Finanzdaten. Verwenden Sie die gehosteten Zahlungsformulare (Stripe Elements), um eine Erweiterung des PCI-DSS-Bereichs zu vermeiden. Protokollieren Sie niemals vollständige Kreditkartennummern.

E-Mail-Dienste: SendGrid, Mailgun und ähnliche Dienste verarbeiten E-Mail-Adressen und Nachrichteninhalte. Stellen Sie sicher, dass der E-Mail-Dienstanbieter über eine unterzeichnete DPA verfügt und Ihre Empfängerdaten nicht für Werbung verwendet.

Kundensupport: Zendesk, Intercom und ähnliche Dienste speichern Kundengespräche, die personenbezogene Daten enthalten können. Konfigurieren Sie die Datenaufbewahrung in der Support-Plattform und stellen Sie sicher, dass die DPA alle Datentypen abdeckt.

---

Entwickler-Checkliste

Für jede Funktion, die Benutzerdaten berührt

• Welche personenbezogenen Daten erfasst diese Funktion? (Dokumentieren Sie es)
• Was ist die Rechtsgrundlage für die Erhebung? (Einwilligung, Vertrag, berechtigtes Interesse)
• Sind dies die erforderlichen Mindestdaten? (Datenminimierung)
• Wie lange werden wir es behalten? (Aufbewahrungsrichtlinie)
• Wer hat Zugriff? (Geringstes Privileg)
• Ist es im Ruhezustand und während der Übertragung verschlüsselt? (Sicherheit)
• Kann der Benutzer auf seine Daten zugreifen, sie exportieren und löschen? (Rechte)
• Wird es zu Prüfzwecken protokolliert? (Verantwortung)
• Überschreitet es Grenzen? (Übertragungsmechanismen)
• Wurde bei hohem Risiko eine DSFA durchgeführt? (Bewertung)

---

Häufig gestellte Fragen

Gilt „Privacy by Design“ nur für die DSGVO?

Nein. Obwohl die DSGVO dies gesetzlich vorschreibt (Artikel 25), ist „Privacy by Design“ weltweit eine anerkannte Best Practice. Das kalifornische CPRA, das brasilianische LGPD und das indische DPDP enthalten alle ähnliche Anforderungen für die Einbettung des Datenschutzes in das Systemdesign. Durch die Implementierung von Privacy by Design zur Einhaltung der DSGVO werden automatisch die Anforderungen der meisten anderen Gerichtsbarkeiten erfüllt.

Wie können wir Datenschutz in eine bestehende Anwendung nachrüsten?

Priorisieren Sie: (1) Prüfen Sie, welche personenbezogenen Daten Sie haben und wo diese gespeichert sind, (2) Implementieren Sie Arbeitsabläufe für Anfragen betroffener Personen (Zugriff, Löschen, Exportieren), (3) Fügen Sie Verschlüsselung für vertrauliche Daten im Ruhezustand hinzu, (4) Implementieren Sie Aufbewahrungsrichtlinien und automatisiertes Löschen, (5) Fügen Sie Einwilligungsverwaltung hinzu, wo sie fehlen. Dies ist nicht ideal, aber es werden zunächst die Lücken mit dem höchsten Risiko behoben.

Bedeutet „Privacy by Design“, dass wir keine Analysen verwenden können?

Nein. Es bedeutet einen verantwortungsvollen Umgang mit Analysen. Aggregieren Sie Daten statt individueller Nachverfolgung. Verwenden Sie Cookie-freie Analysen (Plausible, Fathom) für Website-Metriken. Erfassen Sie für Produktanalysen Ereignisse ohne PII oder pseudonymisieren Sie Identifikatoren. Verwenden Sie für A/B-Tests die serverseitige Zuweisung ohne clientseitige Tracking-Cookies. Datenschutz und Analyse sind mit durchdachtem Design vereinbar.

Wie implementieren wir Privacy by Design in Odoo?

Odoo bietet mehrere integrierte Datenschutzfunktionen: Benutzerzugriffsgruppen (Zugriffskontrolle pro Modul), Audit-Protokollierung (Chatter über Datensätze) und Datenarchivierung. Erweitern Sie diese mit: verschlüsselten benutzerdefinierten Feldern für sensible Daten, automatisierten Aufbewahrungsregeln mithilfe geplanter Aktionen, DSGVO-Datenexportfunktionen mithilfe benutzerdefinierter Berichte und Einwilligungsverfolgung für Kontaktdatensätze. Die Odoo-Anpassungsdienste von ECOSIRE umfassen die Implementierung von „Privacy by Design“.

---

Was als nächstes kommt

Privacy by Design ist die Ingenieursdisziplin. Kombinieren Sie es mit Richtlinien zur Datenaufbewahrung für die Lebenszyklusverwaltung, Implementierung der Cookie-Zustimmung für Web-Eigenschaften und Datenschutz für Mitarbeiter für interne Systeme.

Kontaktieren Sie ECOSIRE für Privacy-by-Design-Beratung und Überprüfung der Softwarearchitektur.

---

Veröffentlicht von ECOSIRE – hilft Unternehmen dabei, Datenschutz in jede Codezeile zu integrieren.