Art. 7 DSG regelt neu den «Datenschutz durch Technik», in englischer Sprache und international «Privacy by Design» genannt, sowie die «datenschutzfreundlichen Voreinstellungen», in englischer Sprache und international «Privacy by Default» genannt. Bemerkenswert ist, dass es sich bei der Privacy by Design und der Privacy by Default um keine datenschutzrechtlichen Grundsätze handelt und deren Nichteinhaltung darum keine Persönlichkeitsverletzung darstellt, da Art. 7 DSG nicht in Art. 30 DSG erwähnt wird. Die Nichteinhaltung der Privacy by Design und der Privacy by Default kann also höchstens, aber immerhin durch den Eidg. Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) beanstandet werden.
Privacy by Design
Gemäss Art. 7 Abs. 1 DSG sind die Verantwortlichen verpflichtet, die Datenbearbeitung technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden. So habe ich z.B. bei einem Datenschutz-Audit bei einem Fundraising-Unternehmen beanstandet, dass den Mitarbeitenden im Callcenter bei ihrem Online-Formular ein allgemeines Feld «Bemerkungen» zur Verfügung stand, bei dem sie x-beliebige Informationen erfassen konnten. Dies verleitet insb. zur Verletzung des Grundsatzes der Verhältnismässigkeit. Die Felder im Formular dürfen nur für exakt definierte Informationen im Zusammenhang mit dem Fundraising zur Verfügung stehen.
Nach Art. 7 Abs. 2 DSG gilt auch bei dieser neuen datenschutzrechtlichen Vorschrift der Grundsatz der Verhältnismässigkeit. D.h. die technischen und organisatorischen Massnahmen müssen insbesondere dem Stand der Technik, der Art und dem Umfang der Datenbearbeitung sowie dem Risiko, das die Bearbeitung für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt, angemessen sein.
Privacy by Default
Zur Privacy by Design gemäss Art. 7 Abs. 1 DSG gehört auch die Privacy by Default (engl. «default» = Voreinstellung, Standardeinstellung) nach Art. 7 Abs. 3 DSG. Gemäss dieser Bestimmung sind die Verantwortlichen verpflichtet, mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt. Diese Regel kommt insbesondere beim Akzept von Cookies im Internet zur Anwendung. Wenn man die Voreinstellungen akzeptiert, dürfen nur die für den Dienst zwingend notwendigen Cookies gesetzt werden (z.B. Cookie zur Wiedererkennung beim Wechsel zum «Warenkorb»). Der User kann jedoch in den «Einstellungen» der Website andere Cookies akzeptieren (z.B. für die generelle Anzeige von Social Media-Content).