Art. 25 DSGVO verpflichtet jeden Verantwortlichen, Datenschutz durch Technikgestaltung (Privacy by Design) und durch datenschutzfreundliche Voreinstellungen (Privacy by Default) umzusetzen. Diese Pflicht ist kein Wunschdenken des Gesetzgebers – die spanische AEPD verhängte 2021 gegen CaixaBank 6,2 Millionen Euro, unter anderem weil die Systeme zur Verwaltung von Einwilligungen nicht datenschutzkonform gestaltet waren. Privacy by Design DSGVO bedeutet: Datenschutz wird nicht nachträglich aufgesetzt, sondern von Anfang an in Systeme, Prozesse und Produkte eingebaut.
Dieser Artikel erklärt die rechtlichen Anforderungen des Art. 25 DSGVO, die praktische Umsetzung der sieben Grundprinzipien und die Durchsetzungspraxis im DACH-Raum.
Key Takeaways
- Art. 25(1) DSGVO verlangt technische und organisatorische Maßnahmen, die den Datenschutz bereits bei der Gestaltung von Verarbeitungsvorgängen sicherstellen.
- Art. 25(2) DSGVO verpflichtet zu datenschutzfreundlichen Voreinstellungen – standardmäßig dürfen nur die für den jeweiligen Zweck erforderlichen Daten verarbeitet werden.
- Die Pflicht gilt nicht nur für neue Systeme, sondern auch bei wesentlichen Änderungen bestehender Systeme.
- Verstöße gegen Art. 25 DSGVO können nach Art. 83(4)(a) mit Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden.
Was Art. 25 DSGVO verlangt
Art. 25(1): Datenschutz durch Technikgestaltung
Art. 25(1) DSGVO bestimmt:
“Der Verantwortliche trifft unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen […] geeignete technische und organisatorische Maßnahmen […], die dafür ausgelegt sind, die Datenschutzgrundsätze […] wirksam umzusetzen.”
Die Kernelemente:
Zeitpunkt: Die Maßnahmen müssen “sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung” getroffen werden. Privacy by Design DSGVO ist eine Pflicht von der Entwurfsphase bis zum Betrieb.
Risikobasierter Ansatz: Der Umfang der Maßnahmen richtet sich nach dem Risiko für die betroffenen Personen. Je sensibler die Daten, desto umfassender müssen die Schutzmaßnahmen sein.
Stand der Technik: Die Maßnahmen müssen dem aktuellen Stand der Technik entsprechen. Veraltete Verschlüsselungsverfahren oder fehlende Pseudonymisierungsmöglichkeiten können einen Verstoß begründen.
Art. 25(2): Datenschutzfreundliche Voreinstellungen
Art. 25(2) DSGVO verpflichtet den Verantwortlichen sicherzustellen, dass durch Voreinstellungen nur personenbezogene Daten verarbeitet werden, die für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind. Dies gilt für die Menge der erhobenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit.
In der Praxis bedeutet dies: Profile in sozialen Netzwerken müssen standardmäßig auf die restriktivste Sichtbarkeitseinstellung gesetzt sein. Newsletter-Anmeldungen dürfen standardmäßig keine zusätzlichen Marketing-Kanäle aktivieren. Formulare dürfen nur die tatsächlich erforderlichen Felder als Pflichtfelder ausweisen.
Die sieben Grundprinzipien von Privacy by Design
Dr. Ann Cavoukian hat in den 1990er Jahren sieben Grundprinzipien formuliert, die der EDPB in seinen Leitlinien 4/2019 aufgegriffen und in den Kontext der DSGVO gestellt hat.
1. Proaktiv statt reaktiv: Datenschutzrisiken werden antizipiert und verhindert, bevor sie eintreten. Unternehmen warten nicht auf Datenpannen, sondern identifizieren Risiken in der Designphase. Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist das formalisierte Instrument dafür.
2. Datenschutz als Voreinstellung: Die datenschutzfreundlichste Option ist die Standardeinstellung. Nutzer müssen aktiv handeln, um weniger Datenschutz zu erhalten – nicht umgekehrt.
3. Datenschutz in das Design eingebettet: Datenschutz ist kein Add-on, sondern integraler Bestandteil der Systemarchitektur. Pseudonymisierung, Zugriffskontrollen und Datenminimierung werden in der Entwurfsphase implementiert.
4. Volle Funktionalität: Datenschutz darf nicht auf Kosten der Funktionalität gehen. Das Ziel ist eine Positivsumme: sowohl Datenschutz als auch Funktionalität.
5. Durchgängige Sicherheit: Der Schutz personenbezogener Daten erstreckt sich über den gesamten Lebenszyklus – von der Erhebung über die Verarbeitung bis zur Löschung.
6. Sichtbarkeit und Transparenz: Die Verarbeitung muss für betroffene Personen und Aufsichtsbehörden nachvollziehbar sein. Die Datenschutzerklärung und das Verzeichnis von Verarbeitungstätigkeiten sind die zentralen Transparenzinstrumente.
7. Respekt für die Privatsphäre des Nutzers: Die Interessen der betroffenen Personen stehen im Mittelpunkt. Systeme werden so gestaltet, dass Nutzer informierte Entscheidungen treffen können und ihre Rechte effektiv ausüben können.
Durchsetzung im DACH-Raum und der EU
CaixaBank (AEPD, 2021): 6,2 Millionen Euro Bußgeld. Die spanische Aufsichtsbehörde stellte fest, dass die internen Systeme zur Verwaltung von Kundeneinwilligungen nicht den Anforderungen des Art. 25 DSGVO entsprachen. Kunden konnten ihre Einwilligung nicht einfach widerrufen, und die Standardeinstellungen waren nicht datenschutzfreundlich.
Grindr (Datatilsynet Norwegen, 2021): 6,3 Millionen Euro (65 Millionen NOK). Die App teilte standortbasierte Daten und sexuelle Orientierung der Nutzer standardmäßig mit Werbepartnern. Die Voreinstellungen verstießen gegen Art. 25(2) DSGVO – die datenschutzfreundlichste Option hätte die Standardeinstellung sein müssen.
BfDI-Empfehlungen (2023): Der Bundesbeauftragte für den Datenschutz hat in seinem Tätigkeitsbericht 2023 betont, dass Art. 25 DSGVO bei der Beschaffung von IT-Systemen durch Bundesbehörden systematisch berücksichtigt werden muss. Beschaffungsrichtlinien müssen Privacy-by-Design-Anforderungen als Vergabekriterium enthalten.
LfDI Baden-Württemberg (2022): Das LfDI beanstandete ein Krankenhaus, dessen Patientenverwaltungssystem standardmäßig allen Mitarbeitern Zugriff auf alle Patientendaten gewährte. Die fehlende rollenbasierte Zugriffskontrolle verletzte Art. 25(2) DSGVO.
Privacy by Design DSGVO in der Praxis umsetzen
Für neue Systeme und Projekte
Datenschutz in die Anforderungsanalyse: Datenschutzanforderungen gehören in die Spezifikation, nicht in die Nachbesserung. Art. 25 DSGVO verlangt Maßnahmen “zum Zeitpunkt der Festlegung der Mittel”. Der Datenschutzbeauftragte sollte von Projektbeginn an eingebunden werden.
DSFA als Designinstrument: Die Datenschutz-Folgenabschätzung identifiziert Risiken und leitet Maßnahmen ab. Bei hohem Risiko ist sie ohnehin Pflicht (Art. 35 DSGVO), bei geringerem Risiko ist sie Best Practice.
Datenminimierung im Datenmodell: Nur die tatsächlich benötigten Datenfelder anlegen. Optionale Felder als optional kennzeichnen. Voreinstellungen auf das Minimum setzen.
Pseudonymisierung und Verschlüsselung: Wo immer möglich, personenbezogene Daten pseudonymisieren. Verschlüsselung im Ruhezustand und bei der Übertragung als Standard implementieren.
Für bestehende Systeme
Bestehende Systeme müssen nicht sofort komplett umgebaut werden. Art. 25 DSGVO verlangt jedoch Maßnahmen “zum Zeitpunkt der eigentlichen Verarbeitung”. Bei wesentlichen Änderungen (neue Funktionen, neue Datenverarbeitung, Systemmigrationen) müssen die Privacy-by-Design-Anforderungen berücksichtigt werden.
Ein pragmatischer Ansatz: Priorisieren Sie die Systeme mit dem höchsten Risiko – typischerweise Systeme, die besondere Datenkategorien (Art. 9 DSGVO) oder große Datenmengen verarbeiten. Implementieren Sie Zugriffskontrollen, Löschroutinen und Pseudonymisierung schrittweise.
Legiscope unterstützt die systematische Identifikation von Privacy-by-Design-Lücken in bestehenden Verarbeitungstätigkeiten und generiert automatisiert Maßnahmenempfehlungen auf Basis der Art.-25-Anforderungen.
FAQ
Muss jedes Unternehmen Privacy by Design umsetzen?
Ja. Art. 25 DSGVO gilt für jeden Verantwortlichen, unabhängig von Größe oder Branche. Der Umfang der Maßnahmen richtet sich nach dem Risiko und den Implementierungskosten. Ein Einzelhändler mit einer einfachen Kundendatenbank hat geringere Anforderungen als ein Gesundheitsdienstleister mit Patientendaten – aber beide müssen Art. 25 DSGVO beachten.
Welche konkreten technischen Maßnahmen verlangt Art. 25 DSGVO?
Art. 25 DSGVO nennt Pseudonymisierung ausdrücklich als Beispiel. Der EDPB führt in den Leitlinien 4/2019 weitere Maßnahmen auf: Datenverschlüsselung, Zugriffskontrollsysteme, automatische Löschroutinen, Datenminimierung auf Datenbankebene und Anonymisierungstechniken. Die konkreten Maßnahmen hängen vom Verarbeitungszweck und dem Risikoprofil ab.
Wie hängt Privacy by Design mit der Datenschutz-Folgenabschätzung zusammen?
Die DSFA (Art. 35 DSGVO) ist das formalisierte Risikobewertungsinstrument, das die Privacy-by-Design-Pflicht operationalisiert. Die DSFA identifiziert Risiken, Art. 25 verlangt Maßnahmen zu deren Minimierung. In der Praxis arbeiten beide Pflichten Hand in Hand: Die DSFA-Ergebnisse fließen direkt in die technischen und organisatorischen Maßnahmen ein, die Art. 25 verlangt.
Können Auftragsverarbeiter für Verstöße gegen Art. 25 haften?
Art. 25 DSGVO richtet sich direkt an den Verantwortlichen. Auftragsverarbeiter sind jedoch nach Art. 28 DSGVO verpflichtet, “hinreichende Garantien” für die Umsetzung technischer und organisatorischer Maßnahmen zu bieten. Wenn ein Auftragsverarbeiter keine datenschutzkonforme Technikgestaltung bietet, haftet der Verantwortliche für die Auswahl und der Auftragsverarbeiter für die eigene Pflichtverletzung.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial
