Bei der Entwicklung neuer Produkte stehen Unternehmen häufig vor der Herausforderung die Anforderungen aus dem Datenschutz zu integrieren. In den meisten Fällen wird erst zum Ende der Produktentwicklung die datenschutzrechtliche Freigabe eingeholt. Ein wiederkehrendes Resultat ist dann, dass die datenschutzrechtliche Prüfung den Produktlaunch verzögert und gesteckte Projektmeilensteine nicht eingehalten werden können. Andere Unternehmen die schon vor der Produktentwicklung die Datenschutzfreigabe eingeholt haben, stellen häufig im Verlauf des Entwicklungsprozesses fest, dass die Vorgaben aus dem Datenschutz mit den eigenen Zielen kollidieren. Der fehlende Fokus macht die Produktentwicklung und damit auch den Datenschutz ineffizient. 

Datenschutz sollte daher in der Produktentwicklung nach dem “Privacy by design”-Ansatz als Kernkompetenz automatisch und von Anfang an berücksichtigt werden. Datenschutzanforderungen werden hiernach bereits im Bauplan des Produkts berücksichtigt und im gesamten Entwicklungsprozess adressiert sowie begleitet. Hierbei sollten alle unmittelbar an der Produktentwicklung beteiligten Personen wie Softwareentwickler:innen oder Designer:innen, informiert und einbezogen werden. Nur wenn Datenschutz als Gestaltungsraum und nicht als Hindernis verstanden wird, kann er einen effektiven Mehrwert bieten. “Privacy by design” lässt sich gerade auch mit agilen Methoden der Produktentwicklung besonders gut vereinbaren, denn die granulare Betrachtungsweise im Datenschutz korrespondiert mit dem inkrementellen Vorgehen agiler Ansätze. „Erst wer Privacy by design lebt, der arbeitet auch wirklich agil“, so caralegal CEO Björn Möller.

 

Was ist “Privacy by design”?

“Privacy by design” ist ein in Artikel 25 der Datenschutz-Grundverordnung (DS-GVO) aufgestellter Grundsatz für die Verarbeitung personenbezogener Daten. Er besagt, dass der Verantwortliche im Sinne der DS-GVO zum Zeitpunkt der eigentlichen Verarbeitung, aber auch bereits in deren Vorfeld, zum Zeitpunkt der Festlegung der Mittel der Verarbeitung, technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung personenbezogener Daten ergreifen muss. Dahinter steht der Gedanke, dass der Schutz personenbezogener Daten am besten gewährleistet ist, wenn er bereits in die Programmierung und Konzipierung der Datenverarbeitungsvorgänge integriert ist. Die Regelung richtet sich, wie sich aus Erwägungsgrund 78 der DS-GVO ergibt, auch ausdrücklich an die Hersteller:innen von Produkten und Dienstleistungen und empfiehlt diesen, die Anforderungen aus der DS-GVO bereits bei der Entwicklung und Gestaltung ihrer Produkte zu berücksichtigen.

“Privacy by design” hat im Kontext der DS-GVO mehrere Dimensionen. Neben Vorgaben und Anforderungen aus dem Bereich Risikomanagement, umfasst dies auch eine Strategiedimension. “Privacy by design” bedeutet danach, die Anforderungen des Datenschutzes im gesamten Projektzyklus zu integrieren. Nachfolgend soll nur diese letztgenannte Dimension einbezogen werden.

 

Umsetzung von “Privacy by design” in der agilen Entwicklungsumgebung

Entlang eines konkreten Praxisbeispiels veranschaulichen wir, wie agile Methoden mit der Betrachtungsweise des Datenschutzes harmonieren und welche Vorteile die Integration datenschutzrechtlicher Anforderungen in den Produktentwicklungsprozess bringt. Hierzu wird eines der bekanntesten Beispiele für den Erfolg agiler Methoden, die Entwicklung des Schuh-Online-Händlers “Zappos” herangezogen und aus dem Jahre 1999, fiktiv in das 21. Jahrhundert transferiert und weitergeführt.

Anpassbar auf Ihre individuellen Bedürfnisse

Datenschutz und “User-centered design”

Bsp.: Nick Swinmurn hatte im Jahr 1999 plötzlich eine Businessidee. Frustriert, weil er kein passendes Paar Schuhe in seinem lokalen Shoppingcenter finden konnte, kam ihm die Idee, Schuhe online zu verkaufen. Ein erstes Nutzer:innenbedürfnis, in diesem Fall sein eigenes, bildete den Auslöser für die Entwicklung des Produktes.

Die Betrachtungsweise des Datenschutzes hilft im Rahmen des “user-centered designs” der modernen agilen Produktentwicklung, formulierte Nutzer:innenanforderungen („user stories“) zu hinterfragen und zu schärfen. Durch die Anforderung aus dem Datenschutz, bei der Verarbeitung personenbezogener Daten stets den Zweck der Verarbeitung (Art. 5 Abs. 1 lit. b DS-GVO) anzugeben, wird der Fokus auf das “warum”, den konkreten Nutzen und Bedarf aus Sicht der Kundschaft gerichtet und dieser weiter konkretisiert und konzentriert. Darüber hinaus bedeutet “user-centered design” im Zusammenhang mit der DS-GVO, dass die Interessen und Bedürfnisse der Individuen auf Schutz und Privatheit ihrer Daten (von Anfang an) in den Fokus genommen werden. Mit dem Ergebnis, dass ein zugleich datenschutzkonformes und nutzerfreundliches Produkt entsteht, welches informierte Entscheidungen der Nutzerinnen und Nutzer im Hinblick auf die Verarbeitung ihrer personenbezogenen Daten ermöglicht. Dies wird nachfolgend anhand des bereits eingeführten Praxisbeispiels veranschaulicht.

Bezogen auf unser Beispiel bedeutet dies, dass das crossfunktionale Team von Nick, bestehend u. a. aus Softwareentwickler:innen, Designer:innen und Datenschutzexpert:innen, anhand der Nutzer:innenanforderungen über benötigte Funktionen für einen solchen Schuh-Online-Shop nachdenkt und unter Einbeziehung datenschutzrechtlicher Anforderungen einen ersten Prototyp, der mit den minimal notwendigen Daten auskommt und hierbei eng an den Bedürfnissen der Nutzerinnen und Nutzer ausgerichtet ist, entwickelt. Die Einbeziehung datenschutzrechtlicher Anforderungen unterstützt folglich die Priorisierung und Fokussierung des Teams auf die wesentlichen Nutzer:innenanforderung und führt zu effizienten Datenverarbeitungsvorgängen.

 

Datenschutzrechtlicher Umgang mit agilen Inkrementen

Fortsetzung Bsp.: Für die Umsetzung des ersten Prototypen, ging Nick in das lokale Shoppingcenter, fotografierte die dort angebotenen Schuhe und postete sie zum Verkauf auf seiner Webseite. Die Kundschaft konnte Nick dann direkt anrufen und so eine Bestellung aufgeben. Er ging los, kaufte die Schuhe im Shoppingcenter und brachte den Kundinnen und Kunden die Schuhe vorbei.

Der Blickwinkel des Datenschutzes ist stets eine einzelne Verarbeitungstätigkeit personenbezogener Daten, das heißt ein einzelner Vorgang oder eine Vorgangsreihe. Diese Granularität, der Blick auf relativ kleine Einheiten, korrespondiert mit der inkrementellen Produktentwicklung agiler Methoden. Für einzelne erschaffene Inkremente lässt sich die datenschutzrechtliche Bewertung und Dokumentation leichter vornehmen, als bei einem in der Regel bereits hinreichend komplexen Endprodukt.

In unserem Beispiel hat Nick ein erstes, funktionsfähiges und für Kundschaft mehrwert erzeugendes Produkt, auch Minimum Viable Product (MVP) erschaffen. Die Datenschutzexpert:innen aus Nicks Team können bei der datenschutzrechtlichen Prüfung aufgrund der überschaubaren Komplexität des Produkt einfach ermitteln, welche Daten (“Kundendaten”, wie Name und Anschrift) zu welchem Zweck (“Bearbeitung der Bestellung”) und auf Basis welcher Rechtsgrundlage (wohl “Vertrag” gem. Art. 6 Abs. 1 S.1 lit. b DS-GVO) verarbeitet werden. Sie weisen Nick darauf hin, dass der Einsatz von Cookies nur unter bestimmten Umständen zulässig ist und in den meisten Fällen die Einwilligung der betroffenen Personen erforderlich ist. Auch weisen sie auf den erhöhten datenschutzrechtlichen Informations- und Dokumentationsaufwand beim Einsatz von Cookies hin. Das Team kommt daher zu dem Ergebnis keine Cookies einzusetzen, weil diese aktuell noch keinen Mehrwert für das Produkt bieten. Aus datenschutzrechtlicher Sicht wird langsam ein datenschutzkonformes Produkt geformt und begleitet. Die datenschutzrechtlichen Dokumentation, etwa die Erstellung des Verzeichnis von Verarbeitungstätigkeiten kann bis zum finalen Produkt kontinuierlich “mitwachsen”.

Integration von Datenschutz in jeden Produktzyklus

(Fiktive) Fortsetzung des Beispiels: Nehmen wir an, die Webseite soll um ein Kontaktformular erweitert werden, weil die rein telefonische Bestellung an ihre Kapazitätsgrenzen gekommen ist und zudem viele Kundinnen und Kunden Nick das Feedback gaben, dass sie sich auch andere Bestellmöglichkeiten wünschten.

Durch die Integration datenschutzrechtlicher Anforderungen in jedem Produktzyklus, entsteht nach und nach ein Produkt, das lösungsorientiert, schlank und effizient ist und zugleich die notwendige Sicherheit bei der Verarbeitung personenbezogener Daten gewährleistet.

Bei der Umsetzung neuer Bestellmöglichkeiten in unserem Beispiel würden spätestens die Datenschutzexpert:innen fragen, wofür das Kontaktformular benötigt wird. Hierdurch kommt das Entwicklungsteam schließlich zu dem Ergebnis, dass ein Bestellformular viel sinnvoller ist, weil es nur die für die Bestellung wirklich erforderlichen Kund:innendaten abfragt. Die Integration der datenschutzrechtlichen Perspektive führt zu einer datenschutzfreundlichen (dem Prinzip der Datenminimierung Rechnung tragenden) und auch insgesamt benutzerfreundlichen Lösung.

(Fiktive) Fortsetzung des Beispiels: Der Schuh Online Shop bringt noch nicht die gewünschte Nachfrage. Unter anderem gibt die Kundschaft das Feedback, dass sie häufig erst nach längerem Suchen die passenden Schuhe finden. Nick und sein Team müssen daher einen Weg finden, wie sie potenziellen Kunden und Kundinnen passende Produkte anzeigen können.

Das Produktentwicklungsteam in unserem Beispiel überlegt, wie es einen besseren Product/Market Fit erzielen kann. Es wäre sinnvoll, stärker individualisierte Produktvorschläge anzuzeigen. Bei den Beratungen bringen die Datenschutzexpert:innen erneut das Thema “Cookies” in die Diskussion. Das Team entscheidet sich nun für den Einsatz von Cookies, weil die hierdurch gewonnenen Daten über die Webseitenbesucher:innen eine gute und einfache Möglichkeit zur Verbesserung der Produktvorschläge bieten. Aus der Perspektive der Datenschutzexpert:innen erscheint der Einsatz von Cookies für diesen Zweck auch geboten und sie nehmen Einfluss auf den konkreten Umfang und die Art und Weise der Datenverarbeitung. Am Ende dieses Prozesses steht dann eine Produktfunktionalität, die schlank und effizient ist und die Ziele des Datenschutzes bereits in ihrer Architektur berücksichtigt hat.

Fazit

Im Ergebnis zeigt sich, wer „Privacy by design“ im hier gesetzten Kontext konsequent umsetzt, der arbeitet auch agil. Denn nur agile Methoden gewährleisten eine wirksame Umsetzung der Ziele des Datenschutzes und es entsteht ein Produkt, dass das Individuum und dessen Bedürfnisse nach Sicherheit und Privatheit seiner Daten im Fokus hat. Auch wird deutlich, dass die Integration des Datenschutzes in den gesamten Produktentwicklungsprozess im Sinne des “Privacy by design”-Ansatzes den Datenschutz zu einem Gestaltungsraum und Lösungsfinder macht. Es entstehen Produkte, die von Anfang an und in ihrer Architektur auf Datenschutz und Kund:innennutzen ausgelegt sind. Probleme und Sicherheitsrisiken für die verarbeiteten Daten sind bekannt und entdeckte Lücken können aufgrund der auf Datensicherheit ausgelegten Architektur schneller behoben werden. Aufgrund der integrativen Betrachtung datenschutzrechtlicher Belange wird lösungsorientiert sichergestellt, dass Prioritäten richtig gesetzt und damit Produktlaunches eingehalten und geplante Umsätze eingefahren werden. Schlussfolgernd führt die Integration des Datenschutz in die Produktentwicklung nachhaltig zu Zeit und damit Kosteneinsparungen.