Richtlinie zu Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

Die Richtlinie zu Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen definiert, wie Datenschutzanforderungen in neue und geänderte Verarbeitungstätigkeiten für personenbezogene Daten innerhalb des PIMS-Geltungsbereichs eingebettet werden müssen. Sie gilt für Projekte, Produkte, Services, Systeme, Anwendungen, Integrationen, Beschaffungsaktivitäten und Änderungen von Geschäftsprozessen. Die Richtlinie ist für Kontexte als Verantwortlicher, gemeinsam Verantwortlicher, Auftragsverarbeiter und Unterauftragsverarbeiter verfasst, einschließlich Situationen, in denen die Organisation Verarbeitung im Auftrag eines Kunden, Verantwortlichen oder vorgelagerten Auftragsverarbeiters auf Grundlage dokumentierter Weisungen gestaltet, konfiguriert, ändert oder betreibt. Ihr Kernzweck besteht darin, sicherzustellen, dass Datenschutzanforderungen identifiziert, umgesetzt und nachgewiesen werden, bevor die Verarbeitung personenbezogener Daten beginnt oder wesentlich geändert wird. Die Richtlinie legt besonderen Schwerpunkt auf Zweck, Erforderlichkeit, Minimierung und datenschutzschützende Voreinstellungen. Prozessverantwortliche und Geschäftsinhaber müssen Mindestkategorien personenbezogener Daten, Kategorien betroffener Personen, Quellen und Zwecke in REG02 und REG04 dokumentieren, bevor die Freigabe der Gestaltung für Erhebung oder Import erfolgt. Systemverantwortliche und Anwendungsverantwortliche müssen Standardverarbeitungseinstellungen auf die minimale Erhebung und Verarbeitung personenbezogener Daten konfigurieren, die für den dokumentierten Zweck erforderlich ist, und vor der Produktivsetzung Nachweise in REG04 erfassen. Optionale Felder für personenbezogene Daten, optionale Verarbeitungsentscheidungen, standardmäßig deaktivierte Einstellungen, Expositionseinstellungen für Ansichten und Berichte sowie der Umgang mit temporären Dateien, Caches, Protokollen oder Staging-Datensätzen werden alle als Datenschutzverpflichtungen in der Gestaltungsphase behandelt und nicht als nachträgliche betriebliche Korrekturen. Datenschutzrisiko- und DSFA-Verknüpfung sind in den Gestaltungsprozess eingebaut, ohne die in PII07 definierte separate Methodik zu ersetzen. Die Datenschutzleitung/der PIMS-Manager muss bestätigen, dass Datenschutz-Risiko-Screening und DSFA-Screening vor der Gestaltungsfreigabe für neue oder wesentlich geänderte Verarbeitung personenbezogener Daten in REG04 aufgezeichnet sind. Maßnahmen zur Behandlung der Datenschutzgestaltung, Verantwortliche und Fälligkeitstermine müssen vor Abschluss der Prüfung aufgezeichnet werden, und Umsetzungsnachweise müssen vor der Produktivsetzung erfasst werden. Für risikoreiche oder wesentlich geänderte Verarbeitung als Verantwortlicher verlangt die Richtlinie außerdem innerhalb von 30 Kalendertagen nach der Produktivsetzung eine nachgelagerte Prüfung der Datenschutzgestaltung in REG04. Wenn Probleme der Gestaltung fehlen, unwirksam, überfällig oder umgangen sind, wird in REG12 eine Korrekturmaßnahme eröffnet. Die Richtlinie erweitert Datenschutz durch Technikgestaltung auch auf Beschaffung und Drittparteienbeziehungen. Lieferanten- und Beschaffungsverantwortliche müssen Anforderungen an Datenschutz durch Technikgestaltung für Lieferanten, Auftragsverarbeiter, Unterauftragsverarbeiter, SaaS-Services, Plattformen oder extern gehostete Systeme in REG08 erfassen, bevor die Beschaffungsfreigabe erfolgt. Erforderlichkeit personenbezogener Daten bei Drittparteien, Zweck und Mindestkategorien personenbezogener Daten müssen vor externer Verarbeitung, Datenweitergabe oder Beschaffungsfreigabe dokumentiert werden. Die Unterstützung durch Lieferanten für datenschutzfreundliche Voreinstellungen, Minimierung und Kundenkonfigurationsanforderungen muss vor dem Onboarding aufgezeichnet werden, während nicht behobene Lücken in der Datenschutzgestaltung bei Lieferanten innerhalb von fünf Geschäftstagen und vor Vertragsunterzeichnung in REG12 eskaliert werden. Governance, Überwachung, Durchsetzung und Pflege werden durch wiederkehrende Nachweis- und Prüfzyklen definiert. Die Datenschutzleitung/der PIMS-Manager legt vierteljährliche Statuszusammenfassungen zur Datenschutzgestaltung in REG12 vor, berechnet Abschlusskennzahlen und Kennzahlen zu überfälligen Maßnahmen und verifiziert vor dem internen Audit, dass Nachweise zur Gestaltung in REG02, REG04, REG08 und REG12 konsolidiert bleiben. Die oberste Leitung überprüft Ausnahmen mit hoher Tragweite, blockierte Entscheidungen zur Produktivsetzung und wiederkehrende Feststellungen im Rahmen der Managementbewertung. Durchsetzungsbestimmungen verlangen die Verhinderung der Produktivsetzung, wenn die REG04-Prüfung unvollständig ist, die Verhinderung des Onboardings, wenn REG08-Nachweise fehlen, sowie die Aussetzung neuer oder geänderter Verarbeitung personenbezogener Daten, bis die REG04-Prüfung, REG02-Aktualisierungen und erforderliche REG12-Ausnahmen abgeschlossen sind.