Geschrieben am 29.07.2025 von:
Kevin Kraus
Legal Consultant | Informationssicherheitsbeauftragter (IHK) & Datenschutzauditor (DSA-TÜV)
zum Profil
Kontaktiere mich:
+49 (0) 261 – 9886236 44
E-Mail senden
Im letzten Beitrag unserer Reihe haben wir uns mit den Informationspflichten und Betroffenenrechten nach Art. 12 ff. DS-GVO beschäftigt. Heute schauen wir auf eine zentrale Anforderung, die viele praktische Fragen aufwirft: Datenschutz soll nicht erst dann greifen, wenn personenbezogene Daten bereits verarbeitet werden. Vielmehr muss er bereits im Vorfeld mitgedacht werden. Genau das ist mit den Grundsätzen „Privacy by Design“ (Datenschutz durch Technikgestaltung) und „Privacy by Default“ (Datenschutz durch datenschutzfreundliche Voreinstellungen) nach Art. 25 DS-GVO gemeint.
Der Begriff „Privacy by Design“ beschreibt die Pflicht, Datenschutzaspekte bereits in die Planung und Gestaltung von Verarbeitungstätigkeiten, Systemen und Geschäftsprozessen einzubeziehen. Verantwortliche müssen geeignete technische und organisatorische Maßnahmen ergreifen, damit die Verarbeitung den Anforderungen der DS-GVO genügt.
Das betrifft zum Beispiel die Auswahl von Software, die Konfiguration von Systemen oder die Gestaltung interner Prozesse. Es reicht nicht aus, Datenschutzmaßnahmen nachträglich einzuführen. Bereits bei der Entwicklung eines neuen IT-Systems oder der Einführung eines Online-Formulars müssen Verantwortliche prüfen, welche Daten wirklich erforderlich sind, wie diese abgesichert werden und welche Rechte den betroffenen Personen eingeräumt werden müssen.
Ein Praxisbeispiel: Eine Organisation plant eine neue Software zur Zeiterfassung. Bereits in der Planungsphase sollte berücksichtigt werden, dass die Software über Funktionen zur Zugriffsbeschränkung, zur Protokollierung von Zugriffen und zur klaren Zweckfestlegung verfügt. Nur so können die Grundsätze aus Art. 5 DS-GVO wie Zweckbindung, Datenminimierung und Integrität sinnvoll eingehalten werden.
Der Grundsatz „Privacy by Default“ verpflichtet darüber hinaus Verantwortliche dazu, Systeme und Prozesse so voreinzustellen, dass standardmäßig nur die für den jeweiligen Zweck notwendigen personenbezogenen Daten verarbeitet werden. Das bedeutet konkret: Die datenschutzfreundlichste Option muss voreingestellt sein.
Ein Beispiel hierfür ist ein Nutzerkonto, bei dem standardmäßig keine Daten öffentlich sichtbar sind. Erst wenn die betroffene Person aktiv entscheidet, bestimmte Informationen freizugeben, darf eine weitergehende Verarbeitung erfolgen. Auch bei Online-Formularen sollten nur Pflichtfelder abgefragt werden, die wirklich notwendig sind. Alle darüber hinausgehenden Angaben sollten freiwillig und klar gekennzeichnet sein.
Privacy by Design und Privacy by Default sind aber auch keine isolierten Vorgaben. Sie ergeben sich logisch aus den bisherigen Inhalten dieser Reihe. In Teil 4 haben wir über die Grundsätze der Verarbeitung gesprochen. Genau diese Grundsätze, etwa die Datenminimierung, die Zweckbindung oder die Integrität, müssen durch Privacy by Design und Default umgesetzt werden. Die Verantwortung dafür liegt beim Verantwortlichen, wie wir in Teil 3 gesehen haben. Auch die Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO verlangt, dass diese Maßnahmen nicht nur umgesetzt, sondern auch dokumentiert werden.
In der Praxis zeigt sich häufig, dass Privacy by Design und Default unterschätzt oder gar nicht berücksichtigt werden. Typische Schwachstellen sind:
- Es wird Software eingesetzt, ohne dass Datenschutzanforderungen vorab geprüft wurden.
- Voreinstellungen in Systemen sind nicht dokumentiert oder nicht datensparsam gewählt.
- Projektteams berücksichtigen Datenschutzanforderungen erst in der Umsetzungsphase und nicht bereits in der Konzeption.
- Technische Systeme erfassen oder speichern mehr Daten als erforderlich, etwa „vorsorglich“ oder zur vermeintlichen Optimierung.
Verantwortliche sollten daher klare Prozesse schaffen, um Datenschutzanforderungen frühzeitig zu berücksichtigen. Folgende Maßnahmen haben sich in der Praxis bewährt:
- Beteiligung des Datenschutzbeauftragten bei IT- und Digitalisierungsprojekten.
- Nutzung von Datenschutz-Checklisten und Standardvorgaben für neue Verfahren.
- Vorgabe datenschutzfreundlicher Voreinstellungen bei der Beschaffung von IT-Systemen.
- Schulung von Projektverantwortlichen und Entwicklern zu den Anforderungen aus Art. 25 DS-GVO.
Wenn du dir unsicher bist, ob deine Systeme oder Prozesse den Anforderungen von Art. 25 DS-GVO entsprechen, beraten wir dich gerne.
Du willst nicht auf den nächsten Beitrag warten oder brauchst eine erste Einschätzung zu einem konkreten Projekt? Dann schreib uns einfach an contact@morgenstern-privacy.com. Wir helfen gerne weiter!