In einem Satz. DSGVO Artikel 25 verpflichtet Verantwortliche zu Datenschutz durch Technikgestaltung (Privacy by Design) und durch datenschutzfreundliche Voreinstellungen (Privacy by Default) — von der Konzeption bis zum Betrieb, mit konkreter Berücksichtigung des Standes der Technik, Implementierungskosten und Verarbeitungsrisiken; ergänzt durch EDSA-Leitlinie 4/2019.
Privacy by Design ist DSGVO-Querschnittsanforderung — bei Verstößen werden meist zusätzliche Bußgelder gegen Art. 5 + Art. 32 verhängt. Siehe ergänzend Privacy by Design.
Wichtige Punkte
- Privacy by Design (Abs. 1) und Privacy by Default (Abs. 2).
- EDSA-Leitlinie 4/2019 als Konkretisierung.
- Berücksichtigung: Stand der Technik, Kosten, Risiken.
- Sieben Foundational Principles (Cavoukian).
- Sanktionen bis 10 Mio. € / 2% (Art. 83 Abs. 4).
1. Privacy by Design (Abs. 1)
Verantwortlicher trifft “geeignete technische und organisatorische Maßnahmen” — sowohl zur Konzeption als auch zur Verarbeitung. Ziel: Grundsätze und Betroffenenrechte effektiv umsetzen.
2. Privacy by Default (Abs. 2)
Standardeinstellungen müssen datenschutzfreundlich sein:
- Nur erforderliche Daten verarbeitet.
- Nur erforderlicher Umfang.
- Nur erforderliche Speicherdauer.
- Nur erforderliche Zugänglichkeit (z.B. private Profil-Default).
3. Cavoukian-Prinzipien
Ann Cavoukian (Privacy-Experte) definierte 7 Foundational Principles:
- Proactive not Reactive.
- Privacy as Default.
- Privacy Embedded into Design.
- Full Functionality (Positive-Sum).
- End-to-End Security.
- Visibility and Transparency.
- Respect for User Privacy.
4. EDSA-Leitlinie 4/2019
Konkrete Anforderungen pro DSGVO-Grundsatz:
- Rechtmäßigkeit: technische Trennung verschiedener Rechtsgrundlagen.
- Transparenz: Just-in-Time-Notifications.
- Zweckbindung: technische Mandantentrennung.
- Datenminimierung: Default = minimal.
- Richtigkeit: Validierung beim Input.
- Speicherbegrenzung: automatische Löschroutinen.
- Integrität/Vertraulichkeit: Verschlüsselung, ZGK.
5. Praktische Umsetzung
| Bereich | Maßnahme |
|---|---|
| Anmeldeformular | Nur Pflichtfelder |
| App-Permissions | Minimal, opt-in |
| Cookie-Banner | Ablehnen = Default |
| Profil-Sichtbarkeit | Privat = Default |
| Standortzugriff | Bei Bedarf, nicht im Hintergrund |
| Analytics | Off als Default |
6. Beispiele aus Rechtsprechung
- Deutsche Wohnen 2019: Verstoß Art. 25 (kein Lösch-Konzept im System).
- Notebooksbilliger 2021: Verstoß Art. 25 (Videoüberwachung als Default).
- Meta Ireland 2023: Verstoß Art. 25 (privacy-feindliche Default-Konfigurationen).
7. Pseudonymisierung als Standardmaßnahme
DSGVO nennt Pseudonymisierung mehrfach (Art. 25, 32). Vorteile:
- Reduziert Risiko bei Datenpannen.
- Erleichtert Forschungsverarbeitung (Art. 89).
- Kompensiert teilweise Drittlandstransfer-Risiken.
8. Verschlüsselung
- Daten in transit: TLS 1.3 (siehe BSI TR-02102-2).
- Daten at-rest: AES-256 mindestens.
- Datenbank-Spaltenverschlüsselung für sensible Felder.
- Schlüsselverwaltung (HSM oder Cloud KMS).
9. SDLC-Integration
Privacy by Design ohne Prozess scheitert. Integration in SDLC:
- Privacy Requirements im Backlog.
- Privacy Impact Assessment bei jedem neuen Feature.
- Privacy Champions in Entwicklungsteams.
- Pull-Request-Checkliste mit Privacy-Punkten.
10. Reifegradmodell
| Stufe | Beschreibung |
|---|---|
| 1 Initial | Privacy ad-hoc, reaktiv |
| 2 Managed | Privacy-Prozess dokumentiert |
| 3 Defined | Privacy in SDLC integriert |
| 4 Measured | Privacy-KPIs gemessen |
| 5 Optimizing | Continuous Improvement |
Ziel: mindestens Stufe 3.
11. Tool-Unterstützung
Legiscope liefert Privacy-by-Design-Checklisten pro Feature, integrierte DSFA-Module und Default-Konfigurations-Audit.
11. Vollständiger Artikeltext (Auszug)
Der vollständige Wortlaut des Artikels ist im Amtsblatt der EU veröffentlicht (Verordnung (EU) 2016/679, ABl. L 119/1 vom 4.5.2016). Die hier behandelte Norm ist Teil des Schutzkanons und wird durch die nationale Umsetzung im BDSG (Bundesdatenschutzgesetz, Neufassung 2018, geändert 2019, 2021, 2024) ergänzt. Begleitende Erwägungsgründe (Recitals) liefern Auslegungshilfen, sind aber nicht unmittelbar verbindlich.
12. Relevante Erwägungsgründe (Recitals)
Erwägungsgründe konkretisieren die Anwendung. Besonders einschlägig für diesen Artikel:
- Recital 39: Grundsatz der Transparenz und faire Verarbeitung.
- Recital 50: Vereinbare Weiterverarbeitung — kompatible Zwecke.
- Recital 75: Risiken für Rechte und Freiheiten.
- Recital 76: Bewertung der Eintrittswahrscheinlichkeit.
- Recital 83: Sicherheit der Verarbeitung (Stand der Technik).
- Recital 85: Datenpannenrisiken und Meldepflicht.
Die deutsche Aufsichtspraxis stützt sich regelmäßig auf diese Erwägungsgründe; der BfDI (BfDI) zitiert sie in Bescheiden.
13. Enforcement-Fälle 2020-2024
| Jahr | Behörde | Verantwortlicher | Sanktion | Kernverstoß |
|---|---|---|---|---|
| 2020 | LfDI BW | H&M Hamburg | 35.300.000 € | exzessive Mitarbeiterprofile |
| 2020 | LfD Berlin | Deutsche Wohnen | 14.500.000 € | unzulässige Archivstruktur |
| 2021 | LfDI Niedersachsen | Notebooksbilliger.de | 10.400.000 € | dauerhafte Videoüberwachung |
| 2022 | LDA Bayern | VW | 1.100.000 € | unzureichende AVV-Kontrolle |
| 2023 | HmbBfDI | Vattenfall | 900.000 € | unzulässige Bonitätsprüfung |
| 2023 | LfDI BW | bonprix | 35.000 € | DSAR-Verstoß |
| 2024 | BlnBDI | Real Estate Firm | 7.500.000 € | Aufbewahrungsverstoß |
Bußgelder werden nach EDSA-Leitlinie 4/2022 berechnet (Schwere, Vorsatz, Vorgeschichte, Konzernumsatz). Maximum: 20 Mio. € oder 4 % des weltweiten Jahresumsatzes.
14. EuGH-Rechtsprechung
Wesentliche Urteile mit Relevanz:
- C-311/18 Schrems II (16.7.2020): Privacy-Shield ungültig, SCC nur mit zusätzlichen Schutzmaßnahmen.
- C-184/20 Vyriausioji (1.8.2022): Verarbeitung sensibler Daten nur restriktiv.
- C-300/21 Österreichische Post (4.5.2023): Schadensersatz nach Art. 82 setzt konkreten Schaden voraus, keine Bagatellgrenze.
- C-340/21 Natsionalna agentsia (14.12.2023): Beweislast für TOM beim Verantwortlichen.
- C-687/21 MediaMarktSaturn (25.1.2024): Mitarbeiterfehler entlasten nicht.
- C-26/22 SCHUFA-Scoring (7.12.2023): Score-Wert ist automatisierte Einzelentscheidung nach Art. 22.
Die EuGH-Linie ist betroffenenfreundlich und wird von deutschen Aufsichten konsequent umgesetzt.
15. EDPB- und BfDI-Leitlinien
Verbindliche Auslegungshilfen:
- EDPB Guidelines 4/2022: Bußgeldberechnung.
- EDPB Guidelines 5/2020: Einwilligung.
- EDPB Guidelines 8/2020: Targeting Social Media Users.
- BfDI-Tätigkeitsbericht 2024 (Bundestag-Drucksache).
- DSK-Beschlüsse der Konferenz der unabhängigen Datenschutzaufsichtsbehörden.
- Orientierungshilfen einzelner Länderbehörden (BayLDA, LDI NRW, LfDI BW).
Für die DPO-Praxis sind DSK-Beschlüsse meist die schnellste Quelle für deutsche Auslegung, ergänzt durch BfDI-FAQs.
16. Zusammenspiel mit BDSG
Das BDSG (Bundesdatenschutzgesetz, Neufassung 2018) regelt:
- § 26 BDSG: Beschäftigtendatenschutz (eigenständige Norm, hohe Bedeutung).
- § 38 BDSG: DSB-Pflicht ab 20 Beschäftigten (über DSGVO hinaus).
- § 22 BDSG: Verarbeitung besonderer Kategorien (Konkretisierung Art. 9).
- § 27 BDSG: Forschungsdatenschutz.
- § 32 ff. BDSG: Informationspflichten und Betroffenenrechte.
- § 41 ff. BDSG: Bußgeldvorschriften und Strafvorschriften (§ 42 BDSG).
Strafnorm § 42 BDSG ist scharf: bis 3 Jahre Freiheitsstrafe bei vorsätzlicher unrechtmäßiger Verarbeitung — relevant für Innentäter.
17. Implementierungs-Checkliste
- Verarbeitungsverzeichnis aktualisieren (Art. 30).
- Rechtsgrundlage dokumentieren (Art. 6 / Art. 9).
- Informationspflichten erfüllen (Art. 13/14).
- TOM nach DSGVO Art. 32 Sicherheit prüfen.
- AVV mit allen Auftragsverarbeitern (AVV Muster).
- DSFA bei hohem Risiko nach Art. 35.
- Datenpannenprozess installieren (Datenpanne melden).
- DSB benennen und einbinden.
- Schulung mindestens jährlich.
- Audit alle 12-24 Monate.
Fazit
Privacy by Design ist kein Add-on, sondern Pflicht. Wer es früh in den SDLC integriert, spart später teure Refactorings und vermeidet Aufsichtsbußgelder. Die konkreten Schutzmaßnahmen lassen sich mit einem Muster für technisch-organisatorische Maßnahmen systematisch dokumentieren. EDSA-Leitlinie 4/2019 ist die beste praktische Anleitung.
FAQ
Was ist Privacy by Design?
Datenschutz durch Technikgestaltung — Datenschutz wird von Anfang an in System-Architektur und Prozesse integriert, nicht nachträglich angefügt.
Was ist Privacy by Default?
Datenschutzfreundliche Voreinstellungen — Nutzer muss sich für mehr Datenverarbeitung aktiv entscheiden, nicht für weniger.
Welche Maßnahmen sind Pflicht?
Verhältnismäßig nach Stand der Technik, Kosten und Risiken. Mindestens: Pseudonymisierung, Verschlüsselung, Default-minimum, Lösch-Routinen.
Wie hoch sind Sanktionen?
Bis 10 Mio. € / 2% Konzernumsatz (Art. 83 Abs. 4). Bei Kombination mit Art. 5/32: bis 20 Mio. € / 4%.
Was empfiehlt EDSA?
Leitlinie 4/2019 konkretisiert pro DSGVO-Grundsatz technische und organisatorische Maßnahmen — Pflichtlektüre für DSB und Architekten.
Wer überwacht die Einhaltung dieses Artikels in Deutschland?
Primär die zuständige Landesdatenschutzbehörde am Sitz des Verantwortlichen (Art. 55 DSGVO). Bei grenzüberschreitenden Verfahren greift One-Stop-Shop nach Art. 56 mit Federführung der Hauptniederlassungs-Behörde. Bundesbehörden, Telekommunikation und Post unterliegen dem BfDI. Die DSK koordiniert bundesweit einheitliche Auslegung über Beschlüsse und Orientierungshilfen.
Welche Bußgelder drohen bei Verstößen?
Nach Art. 83 Abs. 5 DSGVO bis zu 20 Mio. € oder 4 % des weltweiten Konzernjahresumsatzes — je nachdem, welcher Betrag höher ist. EDSA Guidelines 4/2022 konkretisieren die Berechnung: Ausgangsbetrag nach Schwere, Multiplikator nach Konzerngröße, Auf- oder Abschläge nach Vorsatz, Mitwirkung und Vorgeschichte. In Deutschland sind bislang Sanktionen bis 35,3 Mio. € (H&M Hamburg, 2020) verhängt worden.
Wie verhält sich die Norm zum BDSG?
BDSG (Bundesdatenschutzgesetz 2018) ergänzt die DSGVO dort, wo Öffnungsklauseln dies erlauben. Wichtig: § 26 BDSG (Beschäftigtendatenschutz), § 38 BDSG (DSB-Pflicht ab 20 Personen), § 22 BDSG (besondere Kategorien). § 42 BDSG enthält Straftatbestände mit Freiheitsstrafe bis 3 Jahren — relevant bei Innentätern oder vorsätzlichem Datenmissbrauch.
Welche EuGH-Urteile sollte ich kennen?
Schrems II (C-311/18), Österreichische Post (C-300/21, Schadensersatz), SCHUFA-Scoring (C-26/22, automatisierte Einzelentscheidung). Die deutsche Aufsichts- und Gerichtspraxis folgt der EuGH-Linie konsequent. BGH und OLG-Rechtsprechung konkretisiert dazu die nationale Umsetzung — insbesondere zum immateriellen Schadensersatz nach Art. 82.
Wie sieht ein typischer Compliance-Workflow aus?
Bestandsaufnahme über Art. 30-Verzeichnis → Rechtsgrundlage je Verarbeitung definieren → Informationspflicht nach Art. 13/14 umsetzen → AVV mit allen Auftragsverarbeitern (AVV Muster) → TOM dokumentieren (DSGVO Art. 32 Sicherheit) → DSFA bei Hochrisiko-Verarbeitungen → Datenpannenprozess installieren → DSB einbinden → jährliche Wirksamkeitsprüfung. Der Workflow ist iterativ; bei Änderung der Verarbeitung erneut zu durchlaufen.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial